本文發表於一年多前。舊文章可能包含過時內容。請檢查頁面中的資訊自發布以來是否已變得不正確。

宣佈 Kubernetes 漏洞賞金計劃

作者: Maya Kaczorowski 和 Tim Allclair,Google,代表 Kubernetes 產品安全委員會

今天,Kubernetes 產品安全委員會 啟動了一項 新的漏洞賞金計劃,由 CNCF 資助,旨在獎勵發現 Kubernetes 安全漏洞的研究人員。

建立新的漏洞賞金計劃

我們旨在儘可能透明地建立此漏洞賞金計劃,包括 初步提案供應商評估 以及 範圍內的元件工作草案。一旦我們與選定的漏洞賞金計劃供應商 HackerOne 簽約,這些文件將根據 HackerOne 的反饋以及最近 Kubernetes 安全審計 中學到的內容進一步完善。漏洞賞金計劃已經私下發布了幾個月,受邀研究人員可以提交漏洞並幫助我們測試分類過程。在最初提案提出近兩年後,該計劃現在已準備好供所有安全研究人員貢獻!

令人興奮的是,這很罕見:一個針對開源基礎設施工具的漏洞賞金。存在一些開源漏洞賞金計劃,例如 網際網路漏洞賞金,它主要涵蓋在不同環境中持續部署的核心元件;但大多數漏洞賞金仍然適用於託管式網路應用程式。事實上,Kubernetes 有超過 100 個經過認證的發行版,漏洞賞金計劃需要適用於為所有這些發行版提供支援的 Kubernetes 程式碼。迄今為止,最耗時的挑戰是確保計劃提供商(HackerOne)及其負責一線分類的研究人員瞭解 Kubernetes,並能夠輕鬆測試所報告漏洞的有效性。作為引導過程的一部分,HackerOne 的團隊通過了 認證 Kubernetes 管理員 (CKA) 考試。

範圍

漏洞賞金範圍涵蓋 GitHub 上主要 Kubernetes 組織的程式碼,以及持續整合、釋出和文件工件。基本上,您認為是“核心”Kubernetes 的大部分內容,包括 https://github.com/kubernetes,都在範圍之內。我們特別關注叢集攻擊,例如特權升級、身份驗證漏洞以及 kubelet 或 API 伺服器中的遠端程式碼執行。任何關於工作負載的資訊洩露或意外許可權更改也值得關注。從叢集管理員的角度來看,您還應關注 Kubernetes 供應鏈,包括構建和釋出過程,這可能允許任何未經授權的提交訪問,或釋出未經授權工件的能力。

值得注意的是,社群管理工具,例如 Kubernetes 郵件列表或 Slack 頻道,不在範圍之內。容器逃逸、對 Linux 核心或其他依賴項(例如 etcd)的攻擊也不在範圍之內,應報告給相應的方。我們仍然希望任何 Kubernetes 漏洞,即使不在漏洞賞金的範圍之內,也應 私下披露 給 Kubernetes 產品安全委員會。請參閱 計劃報告頁面 上的完整範圍。

Kubernetes 如何處理漏洞和披露

Kubernetes 的 產品安全委員會 是一個由專注於安全的維護者組成的團隊,負責接收和響應 Kubernetes 中的安全問題報告。這遵循記錄的 安全漏洞響應流程,其中包括初始分類、評估影響、生成和釋出修復。

透過我們的漏洞賞金計劃,初始分類和初步評估由漏洞賞金提供商(本例中為 HackerOne)處理,這使我們能夠更好地利用有限的 Kubernetes 安全專家來處理有效的報告。此過程中的其他內容均未更改——產品安全委員會將繼續開發修復、構建私有補丁並協調特殊安全釋出。帶有安全補丁的新版本將在 kubernetes-security-announce@googlegroups.com 公佈。

如果您想報告漏洞,則無需使用漏洞賞金——您仍然可以遵循 現有流程 並將您的發現報告給 security@kubernetes.io

開始使用

正如許多組織透過僱傭開發人員來支援開源一樣,支付漏洞賞金直接支援安全研究人員。這項漏洞賞金是 Kubernetes 建立其安全研究人員社群並獎勵他們辛勤工作的重要一步。

如果您是安全研究員,並且是 Kubernetes 新手,請檢視這些資源以瞭解更多資訊並開始漏洞搜尋

如果您發現任何問題,請向 Kubernetes 漏洞賞金計劃報告安全漏洞:https://hackerone.com/kubernetes