Kubernetesがバグ報奨金プログラムを取得

    0
    54

    Cloud Native Computing Foundation(CNCF)は本日、当初Googleが構築したユビキタスコンテナーオーケストレーションシステムであるKubernetes向けの最初のバグ報奨金プログラムを発表しました。このプログラムを実行するために、CNCFはGoogleおよびHackerOneと提携しており、賞金の範囲は100ドルから10,000ドルです。

    KubernetesにはすでにGoogleのKubernetesセキュリティチームのエンジニアを含む製品セキュリティ委員会があり、明らかにコードに多くの注目が集まっています。ただし、賞金プログラムでは、より多くの(そして新しい)セキュリティ研究者がコードを調べて、すでにこの作業を行っている人に報酬を与えることができます。

    「Kubernetesにはすでに堅牢なセキュリティチームと対応プロセスがあり、最近のKubernetesセキュリティ監査によってさらに強化されています」と、Googleのコンテナセキュリティの製品マネージャであるMaya Kaczorowskiは述べています。 「これまでにないほど強力で安全なオープンソースプロジェクトがあります。バグ報奨金プログラムを開始することにより、私たちは自分の口に資金を投入します。そして最も重要なことは、この重要な研究をすでに行っている研究者に報いることです。さらにコードに目を向け、セキュリティバグを排除し、Kubernetesのセキュリティに関する取り組みを財政支援でバックアップするために、追加のセキュリティ研究者を引き付けたいと思います。」

    バウンティには、GitHubリポジトリにすべてのコアKubernetesコンポーネントが含まれています。具体的には、チームは、認証のバグ、潜在的な権限昇格、kubeletおよびAPIサーバーでのリモートコード実行のバグに関心があると指摘しています。 CNCFはまた、研究者はKubernetesサプライチェーン全体を確認することをお勧めします。プログラムと報酬の構成の詳細については、こちらをご覧ください。