本文已超過一年。較舊的文章可能包含過時的內容。檢查頁面中的資訊自發布以來是否已變得不正確。

Kubernetes 漏洞賞金計畫公告

作者: Maya Kaczorowski 和 Tim Allclair,Google,代表 Kubernetes 產品安全委員會

今天,Kubernetes 產品安全委員會 正在啟動一個由 CNCF 資助的新的漏洞賞金計畫,以獎勵研究人員在 Kubernetes 中發現安全漏洞。

建立新的漏洞賞金計畫

我們的目標是以盡可能透明的方式建立此漏洞賞金計畫,其中包含初始提案供應商評估範圍內組件的工作草案。一旦我們聘請了選定的漏洞賞金計畫供應商 HackerOne,這些文件根據 HackerOne 的回饋以及最近的 Kubernetes 安全審核 中學到的知識進行了進一步的完善。漏洞賞金計畫已經以私人發布形式存在了幾個月,受邀的研究人員可以提交錯誤並幫助我們測試分流流程。自最初提案以來將近兩年後,該計畫現在已準備好讓所有安全研究人員做出貢獻!

令人興奮的是,這非常罕見:針對開源基礎架構工具的漏洞賞金。存在一些開源漏洞賞金計畫,例如 Internet Bug Bounty,這主要涵蓋在各種環境中一致部署的核心組件;但大多數漏洞賞金仍然適用於託管的網頁應用程式。事實上,隨著超過 100 個 Kubernetes 認證發行版,漏洞賞金計畫需要適用於所有這些發行版背後的 Kubernetes 程式碼。到目前為止,這裡最耗時的挑戰是確保計畫提供者 (HackerOne) 及其執行第一線分流的研究人員了解 Kubernetes,並且能夠輕鬆測試報告錯誤的有效性。作為啟動過程的一部分,HackerOne 的團隊通過了 認證 Kubernetes 管理員 (CKA) 考試。

範圍內內容

漏洞賞金範圍涵蓋 GitHub 上主要 Kubernetes 組織的程式碼,以及持續整合、發布和文件產物。基本上,您認為是「核心」Kubernetes 的大多數內容,都包含在 https://github.com/kubernetes 中,都在範圍內。我們對叢集攻擊特別感興趣,例如權限提升、身份驗證錯誤以及 kubelet 或 API 伺服器中的遠端程式碼執行。任何關於工作負載的資訊洩漏或意外的權限變更也令人感興趣。從叢集管理員的世界觀退一步來看,我們也鼓勵您查看 Kubernetes 供應鏈,包括建置和發布流程,這將允許任何未經授權的存取提交,或發布未經授權的產物的能力。

值得注意的是,社群管理工具不在範圍內,例如 Kubernetes 郵件列表或 Slack 頻道。容器逃逸、對 Linux 核心的攻擊或其他依賴項(例如 etcd)也不在範圍內,應報告給適當的方。我們仍然感謝任何 Kubernetes 漏洞,即使不在漏洞賞金的範圍內,也私下揭露給 Kubernetes 產品安全委員會。請參閱 計畫報告頁面 上的完整範圍。

Kubernetes 如何處理漏洞和揭露

Kubernetes 的 產品安全委員會 是一群專注於安全性的維護人員,他們負責接收和回應 Kubernetes 中安全問題的報告。這遵循記錄在案的 安全漏洞回應流程,其中包括初始分流、評估影響、產生和推出修復程式。

透過我們的漏洞賞金計畫,初始分流和初始評估由漏洞賞金提供者(在本例中為 HackerOne)處理,使我們能夠更好地擴展我們有限的 Kubernetes 安全專家,使其僅處理有效的報告。此流程中的其他任何內容都沒有改變 - 產品安全委員會將繼續開發修復程式、建構私有修補程式並協調特殊安全發布。包含安全修補程式的新版本將在 kubernetes-security-announce@googlegroups.com 上宣布。

如果您想報告錯誤,您不需要使用漏洞賞金 - 您仍然可以遵循現有流程,並在 security@kubernetes.io 報告您發現的內容。

開始使用

正如許多組織透過聘請開發人員來支持開源一樣,支付漏洞賞金直接支持安全研究人員。此漏洞賞金是 Kubernetes 建立安全研究人員社群並獎勵他們辛勤工作的關鍵一步。

如果您是安全研究人員,並且是 Kubernetes 新手,請查看以下資源以了解更多資訊並開始漏洞挖掘

如果您發現任何問題,請在 Kubernetes 漏洞賞金計畫中報告安全漏洞:https://hackerone.com/kubernetes