Catatan perev. : Dua minggu lalu, Kubernetes meluncurkan program Bug Bounty, sebuah langkah penting yang telah lama ditunggu-tunggu untuk proyek Open Source skala besar. Sebagai bagian dari inisiatif ini, setiap penggemar yang menemukan masalah keamanan di K8 dapat menerima hadiah mulai dari 100 USD (kekritisan minimum) hingga 10.000 USD (kekritisan tertinggi untuk komponen dari inti Kubernetes). Program ini diumumkan oleh tim keamanan K8 Google - terjemahan disediakan di bawah ini.
Pada tanggal 14 Januari,
Komite Keamanan Produk Kubernetes meluncurkan
program hadiah bug baru, di mana para peneliti akan diberi imbalan atas kerentanan yang ditemukan di Kubernetes. Program ini
disponsori oleh CNCF .
Deskripsi program
Kami mencoba merumuskan aturan program ini setransparan mungkin, yang difasilitasi oleh
proposal awal ,
penilaian awal dari penyedia layanan yang relevan dan
rencana kerja daftar komponen yang sedang dipelajari. Segera setelah kami memutuskan pada platform -
HackerOne - dokumen-dokumen ini direvisi berdasarkan komentar dan saran yang dibuat oleh HackerOne, serta informasi yang diperoleh dari
audit keamanan Kubernetes baru-baru ini.
Program karunia bug dijalankan dalam format tertutup selama beberapa bulan: ahli yang diundang melaporkan bug dan membantu kami menguji proses penyaringan. Dan sekarang, hampir dua tahun setelah proposal awal, program akhirnya siap dan menyambut semua orang yang terburu-buru untuk membantu kami dalam memerangi kesalahan!
Yang sangat mengganggu adalah kenyataan bahwa program karunia bug sangat jarang untuk proyek infrastruktur Open Source. Beberapa pencari bug Open Source terkenal, seperti
Internet Bug Bounty . Namun, mereka terutama berkonsentrasi pada komponen dasar yang digunakan secara berurutan di lingkungan yang berbeda. Sebagian besar program bug bug untuk aplikasi web.
Faktanya, mengingat bahwa sekarang ada
lebih dari 100 distribusi Kubernetes tersertifikasi (tautannya bukan daftar produk, tetapi penyedia layanan [KCSP] - distribusinya sendiri agak lebih kecil saat ini - sekitar Terjemahan.) , Program karunia bug haruslah Diterapkan pada kode Kubernetes, yang mendasari semuanya.
Sejauh ini, tugas yang paling memakan waktu adalah memastikan bahwa penyedia platform (HackerOne) dan spesialis pre-sorting-nya memiliki pemahaman yang baik tentang Kubernetes dan mampu mengkonfirmasi keberadaan bug yang dilaporkan. Sebagai bagian dari tahap persiapan, tim HackerOne lulus ujian untuk
Administrator Kubernetes Bersertifikat (CKA).
Apa yang termasuk dalam program ini?
Bug bounty mencakup kode untuk komponen inti ekosistem Kubernetes di GitHub, serta artefak, rilis, dan dokumentasi integrasi berkelanjutan. Bahkan, sebagian besar konten yang disertakan di
https://github.com/kubernetes terlibat dalam program - konten yang akan Anda kaitkan dengan Kubernet βintiβ. Kami sangat tertarik pada serangan pada cluster, seperti eskalasi hak istimewa, kesalahan otentikasi, dan eksekusi kode jarak jauh di kubelet atau di server API.
Kami juga tertarik dengan kebocoran informasi tentang beban kerja atau perubahan hak yang tidak terduga. Selain itu, kami menyarankan Anda mengambil istirahat sejenak dari administrasi klaster dan mencoba melihat seluruh rantai pasokan, termasuk proses pembuatan dan pelepasan, untuk mempelajarinya mengenai akses tidak sah terhadap komitmen atau kemampuan untuk mempublikasikan artefak yang dipertanyakan.
Perlu dicatat bahwa program tidak mencakup alat untuk berinteraksi dengan komunitas - misalnya, milis Kubernetes atau saluran di Slack. Keluar dari kontainer, serangan pada kernel Linux, atau dependensi lainnya (seperti etcd) juga di luar kepentingan kami (mereka harus diarahkan ke pihak yang tepat). Dalam hal ini, kami akan sangat berterima kasih jika Anda
secara pribadi memberi tahu Komite Keamanan Produk Kubernetes tentang setiap kerentanan yang ditemukan terkait dengan Kubernetes, bahkan jika mereka berada di luar jangkauan bug bug.
Daftar lengkap topik dan area dalam karunia bug dapat ditemukan di
halaman program .
Prosedur Kerentanan dan Pengungkapan Informasi
Komite Keamanan Kubernetes terdiri dari pakar keamanan yang bertanggung jawab untuk menerima dan melaporkan masalah keamanan di Kubernetes. Dalam pekerjaan mereka, mereka mengikuti proses yang terdokumentasi dengan baik untuk menanggapi kerentanan, yang melibatkan penyortiran awal, menilai konsekuensinya, menciptakan perbaikan dan meluncurkannya.
Dalam kasus kami, platform HackerOne mengatur program, penyortiran primer dan evaluasi dasar. Berkat ini, pakar keamanan Kubernetes kami dapat berkonsentrasi pada kesalahan yang sangat signifikan. Segala sesuatu yang lain tetap sama: Komite Keamanan akan terus mengembangkan tambalan, mengumpulkan tambalan tertutup, dan mengoordinasikan rilis khusus. Rilis rilis baru dengan perbaikan keamanan akan diumumkan di saluran
kubernetes-security-announce@googlegroups.com .
Mereka yang ingin melaporkan bug dapat melakukan ini dengan
cara klasik (mem-bypass program hadiah bug). Untuk melakukan ini, kirim laporan Anda ke
security@kubernetes.io .
Di mana untuk memulai?
Sama seperti banyak organisasi yang mendukung perangkat lunak open source, dengan mempekerjakan pengembang, membayar bonus melalui bug bounty membantu mendukung peneliti keamanan. Program ini adalah langkah penting bagi Kubernetes, memungkinkan Anda untuk memperkuat komunitas profesional keamanan Anda sendiri dan memberikan penghargaan kepada mereka atas kerja keras mereka.
Jika Anda seorang spesialis keamanan yang baru mengenal Kubernetes, lihat sumber daya berikut. Mereka akan membantu Anda memulai perburuan bug:
- Panduan Keamanan :
- Kerangka kerja
- Pidato :
Jika Anda menemukan kerentanan, harap laporkan ke program karunia bug Kubernetes di
https://hackerone.com/kubernetes .
PS dari penerjemah
Baca juga di blog kami: