当地云计算基金会今天宣布为开源的Kubernetes容器编排工具创建一个新的bug赏金计划。
该计划的目标是确保当今企业中使用最广泛的开源技术之一。软件容器用于承载可以在任何类型的计算基础设施上运行的现代应用程序,Kubernetes已经成为管理它们的最流行的工具。
该计划旨在鼓励安全研究人员报告他们在Kubernetes代码中发现的任何漏洞,并为他们提供这样做的经济激励。
CNCF说,黑客已经被选中运行bug奖励程序。任何发现的漏洞都将首先由哈克龙的专家进行评估。那些被认为“有效”的人将被报告给Kubernetes产品安全委员会,该委员会包括来自谷歌Kubernetes工程师安全团队的工程师,并负责发布安全补丁。
这个计划的范围很广。Cooper Nietz比大多数其他开源技术都要大得多,公司已经提供了100多个认证的软件发行版。所以bug奖励主要集中在GitHub上发布的公共代码库中发现的漏洞,这些发行版都是基于这些漏洞。
Kubernetes产品安全委员会的谷歌工程师Maya说:“基本上,你认为的‘核心’大部分都在范围之内。
他们说,“我们对集群攻击特别感兴趣,例如权限升级、身份验证错误以及在kubelet或API服务器中的远程代码执行。”关于工作负载的任何信息泄露,或者意外的权限更改,也是有趣的。从集群管理员的角度来看,也鼓励您关注Kubernetes供应链,包括构建和发布过程,这将允许任何未经授权的访问提交或发布未经授权工件的能力。
星座研究公司(Constellation Research Inc .)分析师霍尔格穆勒(Holger Muller)在接受硅钢公司(Silicon Steel Company)采访时解释称,随着此案的关注,将会发现更多的臭虫。
穆勒说:“如果一个漏洞奖励计划在库本内兹身上发现了严重的漏洞,那么1万美元的奖励实际上只是一笔小钱。”如果它能激励更多的人去检查代码,那么对于社区,对于Kubernetes,最重要的是对于使用Kubernetes来驱动下一代应用程序的企业来说,这是一个胜利。
Bernets蠕虫奖励计划现已提交,奖励最严重的漏洞,从100美元到1万美元不等。
免责声明:本文由用户上传,如有侵权请联系删除!
