علة Kubernetes مطاردة مفتوحة رسميا

تقريبا. العابرة. : منذ أسبوعين ، أطلقت Kubernetes برنامج Bug Bounty ، وهي خطوة طال انتظارها وهامة لمثل هذا المشروع المفتوح المصدر واسع النطاق. كجزء من هذه المبادرة ، يمكن لأي متحمس يجد مشكلة أمنية في K8s الحصول على مكافأة تتراوح ما بين 100 دولار (الحد الأدنى من الأهمية) إلى 10000 دولار (أعلى درجة الأهمية لمكون من جوهر Kubernetes). تم الإعلان عن البرنامج من قبل فريق أمان K8s من Google - تتوفر ترجمة أدناه.



في 14 كانون الثاني (يناير) ، أطلقت لجنة Kubernetes لأمن المنتج برنامجًا جديدًا لمكافأة الأخطاء ، حيث سيتم مكافأة الباحثين على الثغرات الأمنية التي تم اكتشافها في Kubernetes. البرنامج برعاية CNCF .

وصف البرنامج

حاولنا صياغة قواعد هذا البرنامج بالشفافية قدر الإمكان ، والتي تم تسهيلها من خلال الاقتراح الأولي ، وتقييم أولي لمقدمي الخدمات ذوي الصلة وخطة عمل تسرد المكونات التي تجري دراستها. بمجرد اتخاذ قرار بشأن النظام الأساسي - HackerOne - تمت مراجعة هذه المستندات بناءً على التعليقات والاقتراحات المقدمة من HackerOne ، بالإضافة إلى المعلومات التي تم الحصول عليها من مراجعة أمان Kubernetes الأخيرة.

تم تشغيل برنامج مكافأة الأخطاء في تنسيق مغلق لعدة أشهر: أبلغ الخبراء المدعوون عن الأخطاء وساعدنا في اختبار عملية التصفية. والآن ، بعد مرور عامين تقريبًا على الاقتراح الأولي ، أصبح البرنامج جاهزًا في النهاية ويرحب بكل من سارع لمساعدتنا في مكافحة الأخطاء!

مزعج بشكل خاص هو حقيقة أن برامج مكافأة الشوائب نادرة للغاية لمشاريع البنية التحتية مفتوحة المصدر. بعض مكتشفات الأخطاء مفتوحة المصدر معروفة جيدًا ، مثل Internet Bug Bounty . ومع ذلك ، فإنها تركز بشكل أساسي على المكونات الأساسية التي يتم نشرها بالتتابع في بيئات مختلفة. معظم برامج مكافآت الأخطاء مخصصة لتطبيقات الويب.

في الواقع ، بالنظر إلى أن هناك الآن أكثر من 100 توزيعات معتمدة من Kubernetes (لا يسرد الرابط المنتجات ، ولكن مزودي الخدمة [KCSP] - التوزيعات نفسها أصغر إلى حد ما اليوم - تقريبًا. الترجمة.) ، يجب أن يكون برنامج فضل الأخطاء يتم تطبيقه على كود Kubernetes ، والذي يقوم عليه كلهم.

حتى الآن ، كانت المهمة الأكثر استهلاكا للوقت هي التأكد من أن مزود النظام الأساسي (HackerOne) وخبراءه في الفرز المسبق لديهم فهم جيد ل Kubernetes وأنهم قادرون على تأكيد وجود الأخطاء المبلغ عنها. كجزء من المرحلة التحضيرية ، اجتاز فريق HackerOne امتحان لمسؤولي Kubernetes المعتمدين (CKA).

ما هو مدرج في البرنامج؟

يغطي فضل الأخطاء رمزًا للمكونات الأساسية لنظام Kubernetes البيئي على GitHub ، بالإضافة إلى عناصر وإصدارات ووثائق تكامل مستمرة. في الواقع ، فإن معظم المحتوى المتضمن على https://github.com/kubernetes متورط في البرنامج - البرنامج الذي ستربطه مع Kubernetes "الأساسي". نحن مهتمون بشكل خاص بهجمات الكتلة ، مثل تصعيد الامتيازات ، وأخطاء المصادقة ، وتنفيذ التعليمات البرمجية عن بُعد في kubelet أو على خادم API.

نحن مهتمون أيضًا بأي تسرب للمعلومات حول أعباء العمل أو التغييرات غير المتوقعة في الحقوق. بالإضافة إلى ذلك ، نقترح أن تأخذ استراحة قصيرة من إدارة نظام المجموعة وتحاول إلقاء نظرة على سلسلة التوريد بأكملها ، بما في ذلك عمليات الإنشاء والإصدار ، من أجل دراستها للوصول غير المصرح به إلى الإلتزامات أو القدرة على نشر القطع الأثرية المشكوك فيها.

تجدر الإشارة إلى أن البرنامج لا يغطي أدوات للتفاعل مع المجتمع - على سبيل المثال ، قوائم بريد Kubernetes أو قناة في Slack. كما أن المخارج من الحاويات أو الهجمات على Linux kernel أو التبعيات الأخرى (مثل etcd) تقع خارج نطاق مصلحتنا (يجب توجيهها إلى الأطراف المعنية). في هذه الحالة ، سنكون ممتنين إذا أبلغت لجنة سلامة منتجات Kubernetes بشكل خاص بأية نقاط ضعف متعلقة بـ Kubernetes ، حتى لو كانت خارج نطاق مكافأة الأخطاء.

يمكن العثور على قائمة كاملة بالموضوعات والمجالات الموجودة في قائمة الأخطاء على صفحة البرنامج .

إجراءات الضعف والكشف عن المعلومات

تتألف لجنة أمن Kubernetes من خبراء أمنيين مسؤولين عن تلقي مشكلات الأمان والإبلاغ عنها في Kubernetes. في عملهم ، يتبعون عملية جيدة التوثيق للرد على نقاط الضعف ، والتي تشمل الفرز الأولي ، وتقييم العواقب ، وخلق إصلاح وطرحها.

في حالتنا ، تقوم منصة HackerOne بتنظيم البرنامج والفرز الأساسي والتقييم الأساسي. بفضل هذا ، يمكن لخبراء الأمن في Kubernetes التركيز على أخطاء كبيرة حقًا. كل شيء آخر لا يزال هو نفسه: ستواصل لجنة الأمن تطوير تصحيحات ، وجمع تصحيحات مغلقة ، وتنسيق الإصدارات الخاصة. سيتم الإعلان عن إصدار الإصدارات الجديدة مع إصلاحات الأمان في قناة kubernetes-security-announce@googlegroups.com .

يمكن لأولئك الذين يرغبون في الإبلاغ عن خطأ القيام بذلك بطريقة كلاسيكية (تجاوز برنامج مكافأة الأخطاء). للقيام بذلك ، أرسل تقريرك إلى security@kubernetes.io .

من أين تبدأ؟

تمامًا كما تدعم العديد من المؤسسات البرامج مفتوحة المصدر ، من خلال تعيين المطورين ، فإن دفع المكافآت عبر مكافأة الأخطاء يساعد في دعم الباحثين في مجال الأمن. يعد هذا البرنامج خطوة هامة بالنسبة إلى Kubernetes ، حيث يتيح لك تعزيز مجتمعك من المتخصصين في مجال الأمن ومكافأتهم على عملهم الشاق.

إذا كنت متخصصًا في مجال الأمن جديدًا في Kubernetes ، فتحقق من الموارد التالية. سوف يساعدونك على بدء البحث عن الأخطاء:

• أدلة السلامة :
  
  • Kubernetes.io .
• الأطر:
  
  • معايير رابطة الدول المستقلة
  • نيست 800-190 .
• الخطب :
  
  • الشيطان في التفاصيل: أول تقييم أمني لـ Kubernetes (KubeCon NA 2019) ؛
  • طلبات ماكرة: الغوص العميق في Kubernetes CVE-2018-1002105 (KubeCon EU 2019) ؛
  • دليل هاكر ل Kubernetes والسحابة (KubeCon EU 2018) ؛
  • الشحن في المياه الموبوءة بالقراصنة (KubeCon NA 2017) ؛
  • مجموعات القرصنة و تصلب Kubernetes على سبيل المثال (KubeCon NA 2017).

إذا وجدت ثغرة أمنية ، فيرجى الإبلاغ عنها إلى برنامج مكافأة الأخطاء في Kubernetes على https://hackerone.com/kubernetes .

PS من المترجم

اقرأ أيضًا في مدونتنا:

• " مرت Helm 3 بتدقيق أمان مستقل " ؛
• " 33+ أدوات أمان Kubernetes " ؛
• " عامل الميناء و Kubernetes في البيئات التي تتطلب الأمن " ؛
• " 9 من أفضل ممارسات الأمان في Kubernetes ."