Kubernetes 官方宣布，Kubernetes產品安全委員會正在啟動一個由 CNCF 資助的 新的漏洞賞金計劃，以獎勵發現存在于Kubernetes中的安全漏洞的研究人員。

　　CNCF 方面表示，作為CNCF畢業的項目，Kubernetes必須遵守最高級別的安全最佳實踐。早在2019年8月，CNCF就成立了安全審核工作組并進行了 Kubernetes的首次安全審核，該審核幫助社區識別了從一般弱點到關鍵漏洞的問題，使他們能夠解決這些漏洞并添加文檔來幫助用戶。

　　自2018年初開始，其就在計劃啟動一個正式的漏洞賞金計劃。現在，經過幾個月的私人測試之后，Kubernetes Bug Bounty則開始對所有安全研究人員開放。

　　該漏洞賞金計劃由安全公司 HackerOne 運營。而為了成功運行該程序，HackerOne團隊則都通過了 Kubernetes管理員認證(CKA)考試。

　　范圍是什么

　　該漏洞的賞金范圍涵蓋了保存在GitHub上的主要Kubernetes代碼，以及持續的集成，發行和文檔工件。Kubernetes 方面表示，他們還對集群攻擊特別感興趣，例如特權升級，身份驗證錯誤以及kubelet或API服務器中的遠程代碼執行。同時，有關工作負載的任何信息泄漏或意外的權限更改也很重要。從集群管理員的角度出發，其還鼓勵研究人員看一下Kubernetes供應鏈，包括構建和發布過程。

　　而社區管理工具(例如Kubernetes郵件列表或Slack頻道)則不在范圍內。容器轉義，對Linux內核的攻擊或其他依賴項(例如etcd)也不在范圍內，應向其安全團隊報告。

　　賞金額度

　　在核心Kubernetes程序中發現的安全漏洞獎勵，將從低優先級問題的200美元到未發現的關鍵問題的10,000美元不等。更多有關賞金計劃如何運行的詳細信息，可參閱 HackerOne的Kubernetes賞金頁面。

特別提醒：本網內容轉載自其他媒體，目的在于傳遞更多信息，并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益，請及時聯系我們，本站將會在24小時內處理完畢。