这篇文章已超过一年。较旧的文章可能包含过时内容。请检查页面上的信息自发布以来是否已不正确。

宣布 Kubernetes 漏洞赏金计划

作者:Maya Kaczorowski 和 Tim Allclair,来自 Google,代表 Kubernetes 产品安全委员会

今天,Kubernetes 产品安全委员会正在启动一个新的漏洞奖励计划,由 CNCF 提供资金,用于奖励发现 Kubernetes 安全漏洞的研究人员。

建立新的漏洞奖励计划

我们力求尽可能透明地设立这个漏洞奖励计划,包括初步提案供应商评估以及范围内的组件工作草案。在我们选定的漏洞奖励计划供应商 HackerOne 入驻后,这些文档根据 HackerOne 的反馈以及最近进行的Kubernetes 安全审计中获得的经验进一步完善。该漏洞奖励计划已进行了几个月的私密发布,受邀的研究人员能够提交漏洞并帮助我们测试分类处理流程。在初步提案提出将近两年后,该计划现已准备好接受所有安全研究人员的贡献!

令人振奋的是,这种情况很少见:为一个开源基础设施工具设立漏洞奖励。确实存在一些开源漏洞奖励计划,例如互联网漏洞奖励计划 (Internet Bug Bounty),它主要涵盖在各种环境中一致部署的核心组件;但大多数漏洞奖励仍然针对托管的 Web 应用程序。事实上,Kubernetes 有超过 100 个认证分发版,因此漏洞奖励计划必须适用于为所有这些分发版提供支持的 Kubernetes 代码。到目前为止,最耗时的挑战是确保程序提供商 (HackerOne) 及其进行初步分类处理的研究人员了解 Kubernetes,并能够轻松测试报告漏洞的有效性。作为启动过程的一部分,HackerOne 要求其团队通过了认证 Kubernetes 管理员 (CKA) 考试。

范围内的内容

漏洞奖励范围涵盖 GitHub 上主要的 Kubernetes 组织的的代码,以及持续集成、发布和文档相关的产物。基本上,您认为属于“核心”Kubernetes 的大多数内容,即包含在 https://github.com/kubernetes 下的内容,都在范围内。我们特别关注集群攻击,例如 kubelet 或 API 服务器中的权限提升、身份验证漏洞和远程代码执行。任何关于工作负载的信息泄露或意外的权限更改也属于我们关注的范围。从集群管理员的角度退一步来说,我们也鼓励您关注 Kubernetes 供应链,包括构建和发布过程,这可能涉及对提交的任何未经授权的访问,或发布未经授权的产物的能力。

需要注意的是,社区管理工具不在范围内,例如 Kubernetes 邮件列表或 Slack 频道。容器逃逸、对 Linux 内核或其他依赖项(如 etcd)的攻击也不在范围内,应报告给相应的方。即使某个 Kubernetes 漏洞不在漏洞奖励范围内,我们仍然希望将其私下披露给 Kubernetes 产品安全委员会。请在计划报告页面上查看完整的范围。

Kubernetes 如何处理漏洞和披露

Kubernetes 的产品安全委员会是由专注于安全的维护者组成的团队,负责接收和响应 Kubernetes 中的安全问题报告。这遵循文档化的安全漏洞响应流程,该流程包括初步分类处理、评估影响、生成和推出修复程序。

通过我们的漏洞奖励计划,初步分类处理和初步评估由漏洞奖励提供商(此处为 HackerOne)负责,这使得我们有限的 Kubernetes 安全专家能够更好地扩展其能力,只处理有效的报告。此过程中的其他任何内容均未更改 - 产品安全委员会将继续开发修复程序、构建私有补丁,并协调特殊安全版本发布。带有安全补丁的新版本将通过 kubernetes-security-announce@googlegroups.com 发布公告。

如果您想报告漏洞,无需使用漏洞奖励计划 - 您仍然可以遵循现有流程,并通过 security@kubernetes.io 报告您的发现。

开始吧

正如许多组织通过雇佣开发者来支持开源一样,支付漏洞奖励直接支持安全研究人员。设立此漏洞奖励计划是 Kubernetes 建立其安全研究人员社区并奖励其辛勤工作的重要一步。

如果您是安全研究人员,并且对 Kubernetes 不熟悉,请查阅以下资源以了解更多信息并开始寻找漏洞

如果您发现了问题,请通过 Kubernetes 漏洞奖励计划报告安全漏洞:https://hackerone.com/kubernetes