Запущена программа bug bounty для Kubernetes

Фонд Cloud Native Computing Foundation (CNCF), занимающийся управлением Kubernetes, совместно с Google и HackerOne запустил программу вознаграждения за найденные уязвимости в данном ПО. Размер вознаграждения будет варьироваться от $100 до $10 тыс. Программа в течение нескольких месяцев работала в закрытом режиме, но теперь в ней могут принять участие все желающие исследователи безопасности.

Программа охватывает все основные компоненты Kubernetes. В частности, организаторов интересуют проблемы, связанные с кластерными атаками, такие как уязвимости повышения привилегий, обхода аутентификации и удаленного выполнения кода в экземплярах и API-серверах. Также будут рассматриваться отчеты об утечках информации о рабочих процессах или неожиданных изменениях разрешений.

Программа не распространяется на инструменты управления сообществом, например, списки рассылок Kubernetes или канал Slack. Выход из окружения контейнера, атаки на ядро ​​Linux либо зависимости, такие как etcd, также не будут рассматриваться. Более подробную информацию о программе и размере вознаграждений можно узнать по данной ссылке .

Kubernetes — открытое программное обеспечение для автоматизации развертывания, масштабирования контейнеризированных приложений и управления ими.