Kubernetes奖励发现安全漏洞的研究人员

Kubernetes官方宣布，Kubernetes产品安全委员会正在启动一个由CNCF资助的新的漏洞赏金计划，以奖励发现存在于Kubernetes中的安全漏洞的研究人员。

CNCF方面表示，作为CNCF毕业的项目，Kubernetes必须遵守最高级别的安全最佳实践。早在2019年8月，CNCF就成立了安全审核工作组并进行了Kubernetes的首次安全审核，该审核帮助社区识别了从一般弱点到关键漏洞的问题，使他们能够解决这些漏洞并添加文档来帮助用户。

自2018年初开始，其就在计划启动一个正式的漏洞赏金计划。现在，经过几个月的私人测试之后，Kubernetes Bug Bounty则开始对所有安全研究人员开放。

该漏洞赏金计划由安全公司HackerOne运营。而为了成功运行该程序，HackerOne团队则都通过了Kubernetes管理员认证（CKA）考试。

范围是什么

该漏洞的赏金范围涵盖了保存在GitHub上的主要Kubernetes代码，以及持续的集成，发行和文档工件。Kubernetes方面表示，他们还对集群攻击特别感兴趣，例如特权升级，身份验证错误以及kubelet或API服务器中的远程代码执行。同时，有关工作负载的任何信息泄漏或意外的权限更改也很重要。从集群管理员的角度出发，其还鼓励研究人员看一下Kubernetes供应链，包括构建和发布过程。

而社区管理工具（例如Kubernetes邮件列表或Slack频道）则不在范围内。容器转义，对Linux内核的攻击或其他依赖项（例如etcd）也不在范围内，应向其安全团队报告。

赏金额度

在核心Kubernetes程序中发现的安全漏洞奖励，将从低优先级问题的200美元到未发现的关键问题的10,000美元不等。更多有关赏金计划如何运行的详细信息，可参阅HackerOne的Kubernetes赏金页面。