Kubernetes启动全新漏洞赏金计划最高奖1万美元

Kubernetes官方宣告，Kubernetes产品安全委员会正在启动一个由CNCF资助的新的漏洞赏金计划，以奖励找到不存在于Kubernetes中的安全漏洞的研究人员。　　CNCF方面回应，作为CNCF毕业的项目，Kubernetes必需遵从最高级别的安全性最佳实践中。早在2019年8月，CNCF就正式成立了安全性审查工作组并展开了Kubernetes的首次安全性审查，该审查协助社区辨识了从一般弱点到关键漏洞的问题，使他们需要解决问题这些漏洞并加到文档来协助用户。

　　自2018年初开始，其就在计划启动一个月的漏洞赏金计划。现在，经过几个月的私人测试之后，Kubernetes Bug Bounty则开始对所有安全性研究人员对外开放。

　　该漏洞赏金计划由安全性公司HackerOne运营。而为了顺利运营该程序，HackerOne团队则都通过了Kubernetes管理员证书（CKA）考试。　　范围是什么　　该漏洞的赏金范围涵括了留存在GitHub上的主要Kubernetes代码，以及持续的构建，发售和文档工件。

Kubernetes方面回应，他们还对集群反击尤其感兴趣，例如特权升级，身份验证错误以及kubelet或API服务器中的远程代码执行。同时，有关工作阻抗的任何信息外泄或车祸的权限变更也很最重要。从集群管理员的角度抵达，其还希望研究人员看一下Kubernetes供应链，还包括建构和公布过程。　　而社区管理工具（例如Kubernetes邮件列表或Slack频道）则不出范围内。

容器辞汇，对Linux内核的反击或其他倚赖项（例如etcd）也不出范围内，应其安全性团队报告。　　赏金额度　　在核心Kubernetes程序中找到的安全漏洞奖励，将从低优先级问题的200美元到未找到的关键问题的10,000美元平均。

更加多有关赏金计划如何运营的详细信息，可参看HackerOne的Kubernetes赏金页面。

本文来源：博鱼在线官网-www.mailcco.com