O programa de recompensas de bugs do Kubernetes tornou-se oficialmente disponível para todos os pesquisadores. Na verdade, isso já existia, porém, era limitado a um pequeno número de especialistas em segurança que foram convidados. O programa de recompensas de bugs em Kubernetes é executado no HackerOne e vem com recompensas que começam em US $ 100 e chegam a US $ 10.000 se a falha de segurança encontrada afetar o mecanismo principal do Kubernetes.
Como funciona o programa de recompensas de bugs em Kubernetes que foi lançado
De acordo com as diretrizes oficiais de recompensas de bugs publicadas aqui, o pagamento máximo de US $ 10.000 é oferecido para uma vulnerabilidade crítica existente nos recursos GA e beta dos principais Kubernetes, dependências principais de propriedade do Kubernetes ou complementos principais e inclui a capacidade de alterar o código-fonte sem aprovação do proprietário ou iniciar ataques DoS em artefatos de liberação.
Pagamentos rápidos
Maya Kaczorowski e Tim Allclair, ambos do Google, dizem que, embora todos os relatórios de vulnerabilidade sejam bem-vindos, existem algumas falhas que somente pesquisadores especializados são capazes de trabalhar com a ajuda do programa de recompensas por bugs.
Estamos particularmente interessados ??em ataques de cluster, como escalações de privilégios, bugs de autenticação e execução remota de código no kubelet ou servidor de API. Qualquer vazamento de informações sobre uma carga de trabalho ou alterações inesperadas de permissão também é interessante. Recuando da visão de mundo dos administradores de cluster, também é recomendável que você analise a cadeia de suprimentos do Kubernetes, incluindo os processos de compilação e liberação, que permitiriam qualquer acesso não autorizado a confirmações ou a capacidade de publicar artefatos não autorizados, eles dizer.
O Kubernetes foi lançado pelo Google, mas atualmente é mantido como um projeto de código aberto pela Cloud Native Computing Foundation.
O Comitê de Segurança do Produto da Kunerbenetes ainda cuidará do desenvolvimento de correções e do lançamento de patches após os relatórios recebidos via HackerOne. A equipe promete que a primeira resposta a um relatório seja oferecida em 1 dia. Além disso, um prazo máximo 10 dias serão alocados para relatórios de triagem. Da mesma forma, outros 10 dias serão necessários para pagar a recompensa.
Informações completas sobre o programa de recompensas por bugs estão disponíveis na página acima e no anúncio público aqui .