quarta-feira, 15 de janeiro de 2020
Segurança no Kubernetes: programa de recompensas de bugs é anunciado
Confira !!
O Kubernetes , o programa de orquestração de contêineres, ficou mais quente que quente. Todo mundo - e eu quero dizer todo mundo - está adotando . Mas com as principais atualizações trimestrais e todo mundo correndo para implantá-lo, a segurança é uma preocupação real. Portanto, o Comitê de Segurança do Produto Kubernetes , financiado pela CNCF (Cloud Native Computing Foundation) está lançando um novo programa de recompensa de bugs para recompensar os caçadores de bugs de segurança do Kubernetes.
O programa de recompensas de bugs está em uma versão beta privada há vários meses. Quase dois anos desde a proposta inicial, o programa está pronto para todos os pesquisadores de segurança.
Maya Kaczorowski, gerente de produtos de segurança de contêiner do Google Cloud, disse:
O Kubernetes já possui uma equipe de segurança robusta e um processo de resposta, consolidado ainda mais pela recente auditoria de segurança do Kubernetes . Temos um projeto de código aberto mais forte e mais seguro do que nunca. Ao lançar um programa de recompensas por insetos, estamos colocando nosso dinheiro onde nossa boca está - e o mais importante, recompensando os pesquisadores que já estão fazendo esse importante trabalho. Esperamos atrair pesquisadores de segurança adicionais para ter mais olhos no código, eliminar bugs de segurança e fazer backup de nosso trabalho na segurança do Kubernetes com suporte financeiro.
Esse programa de recompensa de bugs será operado pela HackerOne , uma empresa de segurança auto-proclamada por hackers. Para executar o programa com sucesso, a equipe do HackerOne é todos administradores de Kubernetes certificados (CKA) . Este não é um trabalho fácil. Existem mais de 100 distribuições certificadas do Kubernetes , e a recompensa de bug cobre todo o seu código Kubernetes.
Especificamente, a recompensa do bug cobre o código principal do Kubernetes mantido no GitHub. Ele também observa artefatos de integração, liberação e documentação contínuos. Em particular, eles estão procurando falhas de segurança que possam levar a ataques de cluster. Isso inclui escalações de privilégios, erros de autenticação e execução remota de código no kubelet ou no servidor da API.
Eles também estão procurando vazamentos de informações sobre a carga de trabalho ou alterações inesperadas nas permissões. Os pesquisadores de segurança também são incentivados a examinar a cadeia de suprimentos da Kubernetes, incluindo os processos de criação e lançamento.
O que ele não cobre são as ferramentas de gerenciamento da comunidade, como as listas de discussão do Kubernetes ou o canal Slack. Escapes de contêiner, ataques ao kernel do Linux ou outras dependências, como etcd, também estão fora do escopo e devem ser relatados às suas equipes de segurança. Dito isto, eles ainda querem ouvir sobre qualquer vulnerabilidade do Kubernetes, mesmo que não estejam no escopo da recompensa do bug. Eles devem ser divulgados em particular ao Comitê de Segurança do Produto Kubernetes.
Os prêmios pelas brechas de segurança encontradas nos programas principais do Kubernetes variam de US $ 200 para problemas de baixa prioridade a US $ 10.000 para problemas críticos descobertos. Para obter detalhes completos sobre como o programa de recompensas funciona, consulte a página de recompensas do HackerOne, Kubernetes .
Fonte
Até a próxima !
Marcadores: Linux, Android, Segurança
Clud,
Data Management,
Kubernetes,
Linux,
Notícia,
segurança
Assinar:
Postar comentários (Atom)
Hey,
ResponderExcluirThanks for sharing this blog its very helpful to implement in our work
Regards.
Hire a Hacker