0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

Kubernetes奖励发现安全漏洞的研究人员

汽车玩家 来源:开源中国 作者:白开水不加糖 2020-01-17 10:37 次阅读

Kubernetes官方宣布,Kubernetes产品安全委员会正在启动一个由CNCF资助的新的漏洞赏金计划,以奖励发现存在于Kubernetes中的安全漏洞的研究人员。

CNCF方面表示,作为CNCF毕业的项目,Kubernetes必须遵守最高级别的安全最佳实践。早在2019年8月,CNCF就成立了安全审核工作组并进行了Kubernetes的首次安全审核,该审核帮助社区识别了从一般弱点到关键漏洞的问题,使他们能够解决这些漏洞并添加文档来帮助用户。

自2018年初开始,其就在计划启动一个正式的漏洞赏金计划。现在,经过几个月的私人测试之后,Kubernetes Bug Bounty则开始对所有安全研究人员开放。

该漏洞赏金计划由安全公司HackerOne运营。而为了成功运行该程序,HackerOne团队则都通过了Kubernetes管理员认证(CKA)考试。

范围是什么

该漏洞的赏金范围涵盖了保存在GitHub上的主要Kubernetes代码,以及持续的集成,发行和文档工件。Kubernetes方面表示,他们还对集群攻击特别感兴趣,例如特权升级,身份验证错误以及kubelet或API服务器中的远程代码执行。同时,有关工作负载的任何信息泄漏或意外的权限更改也很重要。从集群管理员的角度出发,其还鼓励研究人员看一下Kubernetes供应链,包括构建和发布过程。

而社区管理工具(例如Kubernetes邮件列表或Slack频道)则不在范围内。容器转义,对Linux内核的攻击或其他依赖项(例如etcd)也不在范围内,应向其安全团队报告。

赏金额度

在核心Kubernetes程序中发现的安全漏洞奖励,将从低优先级问题的200美元到未发现的关键问题的10,000美元不等。更多有关赏金计划如何运行的详细信息,可参阅HackerOne的Kubernetes赏金页面。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • GitHub
    +关注

    关注

    3

    文章

    469

    浏览量

    16431
收藏 人收藏

    评论

    相关推荐

    对称加密技术有哪些常见的安全漏洞

    对称加密技术在实际应用中可能面临的安全漏洞主要包括: 实现不当: 错误的加解密实现、弱随机数生成器或其他逻辑错误都可能导致安全漏洞漏洞利用: 利用已知的弱点或攻击手段,如理论上可行的分组攻击或侧
    的头像 发表于 12-16 13:59 75次阅读

    物联网系统的安全漏洞分析

    随着物联网技术的快速发展,越来越多的设备被连接到互联网上,从智能家居、智能城市到工业自动化,物联网的应用范围不断扩大。然而,随着物联网设备的增多,安全问题也日益凸显。 一、物联网系统安全漏洞的成因
    的头像 发表于 10-29 13:37 361次阅读

    如何使用 IOTA 分析安全漏洞的连接尝试

    在当今数字化世界中,网络安全变得至关重要。本文将探讨如何利用流量数据分析工具来发现和阻止安全漏洞和恶意连接。通过分析 IOTA 流量,您可以了解如何识别不当行为,并采取适当的措施来保护您的网络和数据。我们将深入
    的头像 发表于 09-29 10:19 264次阅读
    如何使用 IOTA 分析<b class='flag-5'>安全漏洞</b>的连接尝试

    漏洞扫描的主要功能是什么

    漏洞扫描是一种网络安全技术,用于识别计算机系统、网络或应用程序中的安全漏洞。这些漏洞可能被恶意用户利用来获取未授权访问、数据泄露或其他形式的攻击。
    的头像 发表于 09-25 10:25 400次阅读

    从CVE-2024-6387 OpenSSH Server 漏洞谈谈企业安全运营与应急响应

    ,黑客已经发现并利用的安全漏洞。这类漏洞的危害极大,往往会给企业带来严重的安全威胁和经济损失。 近日,OpenSSH曝出了一起严重的0day漏洞
    的头像 发表于 07-10 10:29 1508次阅读
    从CVE-2024-6387 OpenSSH Server <b class='flag-5'>漏洞</b>谈谈企业<b class='flag-5'>安全</b>运营与应急响应

    小米科技高级安全专家:智能汽车Tbox安全漏洞分析

    GeekPwn和汽车安全比赛并荣获多项大奖。精通IOT、移动端和车联网安全。在车联网安全体系建设和漏洞挖掘上有着丰富的安全经验和深入的
    的头像 发表于 05-27 14:31 1234次阅读
    小米科技高级<b class='flag-5'>安全</b>专家:智能汽车Tbox<b class='flag-5'>安全漏洞</b>分析

    PuTTY等工具曝严重安全漏洞:可还原私钥和伪造签名

    据报道,知名SSH和Telnet工具PuTTY于4月18日暴露安全漏洞CVE-2024-31497,涉及版本0.68至0.80。仅需使用60个签名,攻击者即可还原私钥。为应对此风险,官方更新推出0.81版本,呼吁使用者尽快升级。
    的头像 发表于 04-18 10:06 660次阅读

    研究人员发现提高激光加工分辨率的新方法

    通过透明玻璃聚焦定制激光束可以在材料内部形成一个小光斑。东北大学的研究人员研发了一种利用这种小光斑改进激光材料加工、提高加工分辨率的方法。 他们的研究成果发表在《光学通讯》(Optics
    的头像 发表于 04-18 06:30 340次阅读
    <b class='flag-5'>研究人员</b><b class='flag-5'>发现</b>提高激光加工分辨率的新方法

    微软修复两个已被黑客利用攻击的零日漏洞

    此次更新的精英账号“泄露型”安全漏洞(代号:CVE-2024-26234)源于代理驱动程序欺骗漏洞。萝卜章利用可信的微软硬件发布证书签名恶意驱动程序。
    的头像 发表于 04-10 14:39 556次阅读

    iOS 17.4.1修复两安全漏洞,涉及多款iPhone和iPad

     据报道,iOS/iPadOS17.4.1主要解决了Google Project Zero团队成员Nick Galloway发现并报告的两大安全漏洞(CVE-2024-1580)。
    的头像 发表于 03-26 10:47 728次阅读

    特斯拉修补黑客竞赛发现漏洞,Pwn2Own助其领先安全领域

    作为领先电动车品牌,特斯拉始终重视网络安全,并且与白帽黑客建立伙伴关系。为此,特斯拉依托Pwn2Own等黑客赛事平台,以重金奖励挖掘漏洞以弥补隐患。这一措施取得良好成效,数百个漏洞已在
    的头像 发表于 03-22 11:35 496次阅读

    谷歌奖励1000万美元发现漏洞安全专家

    值得注意的是,2023年度漏洞报告的最优奖项高达113337美元,加上自计划启动至今历年累积的5.9亿美元奖金,其中Android相关内容尤其显著,更有近340万美元的奖金熠熠生辉,用以鼓励专家们积极研究安卓漏洞
    的头像 发表于 03-13 14:44 525次阅读

    苹果承认GPU存在安全漏洞

    苹果公司近日确认,部分设备中的图形处理器存在名为“LeftoverLocals”的安全漏洞。这一漏洞可能影响由苹果、高通、AMD和Imagination制造的多种图形处理器。根据报告,iPhone 12和M2 MacBook Air等设备也受到了这一
    的头像 发表于 01-18 14:26 677次阅读

    源代码审计怎么做?有哪些常用工具

    源代码审计是一种通过检查源代码来发现潜在的安全漏洞的方法。 下面是常用的源代码审计工具: 1、Fortify:通过内置的五大主要分析引擎,对源代码进行静态分析,并与特有的软件安全漏洞规则集进行全面
    发表于 01-17 09:35

    网络安全测试工具有哪些类型

    网络安全测试工具是指用于评估和检测系统、网络和应用程序的安全性的一类软件工具。这些工具可以帮助组织和企业发现潜在的安全漏洞和威胁,以便及时采取措施加固和修复。根据不同的功能和用途,网络
    的头像 发表于 12-25 15:00 1285次阅读