Nota perev. : Duas semanas atrás, a Kubernetes lançou o programa Bug Bounty, uma etapa muito esperada e importante para um projeto de código aberto em larga escala. Como parte dessa iniciativa, qualquer entusiasta que encontre um problema de segurança nos K8s pode receber uma recompensa que varia de 100 USD (valor mínimo crítico) a 10.000 USD (valor mais alto crítico para um componente do núcleo Kubernetes). O programa foi anunciado pela equipe de segurança do Google K8s - uma tradução é fornecida abaixo.
Em 14 de janeiro, o
Comitê de Segurança do Produto Kubernetes lançou um novo
programa de recompensa de bugs , no qual os pesquisadores serão recompensados pelas vulnerabilidades descobertas no Kubernetes. O programa é
patrocinado pelo CNCF .
Descrição do programa
Tentamos formular as regras desse programa da maneira mais transparente possível, o que foi facilitado pela
proposta inicial , uma
avaliação preliminar dos prestadores de serviços relevantes e um
plano de trabalho listando os componentes em estudo. Assim que decidimos sobre a plataforma -
HackerOne - esses documentos foram revisados com base nos comentários e sugestões feitos pelo HackerOne, além de informações obtidas em uma recente
auditoria de segurança do Kubernetes .
O programa de recompensas de bugs foi executado em um formato fechado por vários meses: especialistas convidados relataram bugs e nos ajudaram a testar o processo de filtragem. E agora, quase dois anos após a proposta inicial, o programa está finalmente pronto e recebe todos os que estão com pressa para nos ajudar na luta contra os erros!
Particularmente perturbador é o fato de que os programas de recompensas por bugs são extremamente raros para projetos de código aberto de infraestrutura. Alguns pesquisadores de código aberto são bem conhecidos, como o
Internet Bug Bounty . No entanto, eles se concentram principalmente nos componentes básicos que são implantados sequencialmente em diferentes ambientes. A maioria dos programas de recompensa de bugs é para aplicativos da web.
De fato, considerando que agora existem
mais de 100 distribuições certificadas do Kubernetes (o link lista não os produtos, mas os provedores de serviços [KCSP] - as próprias distribuições são hoje um pouco menores - aprox. Transl.) , O programa de recompensas de bugs deve ser Aplicado ao código Kubernetes, subjacente a todos eles.
Até agora, a tarefa mais demorada foi garantir que o fornecedor da plataforma (HackerOne) e seus especialistas em pré-classificação tenham um bom entendimento do Kubernetes e possam confirmar a presença do bug relatado. Como parte da fase preparatória, a equipe do HackerOne passou no exame para
administradores certificados do Kubernetes (CKA).
O que está incluído no programa?
A recompensa por erros abrange o código para os principais componentes do ecossistema Kubernetes no GitHub, bem como artefatos, versões e documentação de integração contínua. De fato, a maior parte do conteúdo incluído em
https://github.com/kubernetes está envolvida no programa - aquele que você associará aos Kubernetes "principais". Estamos particularmente interessados em ataques de cluster, como escalação de privilégios, erros de autenticação e execução remota de código no kubelet ou no servidor da API.
Também estamos interessados em qualquer vazamento de informações sobre cargas de trabalho ou alterações inesperadas nos direitos. Além disso, sugerimos que você faça uma pequena pausa na administração do cluster e tente examinar toda a cadeia de suprimentos, incluindo os processos de compilação e liberação, para estudá-los para obter acesso não autorizado a confirmações ou a capacidade de publicar artefatos questionáveis.
Note-se que o programa não cobre ferramentas para interagir com a comunidade - por exemplo, listas de discussão do Kubernetes ou um canal no Slack. Saídas de contêineres, ataques ao kernel do Linux ou outras dependências (como etcd) também estão fora do escopo de nosso interesse (devem ser direcionadas às partes apropriadas). Nesse caso, agradeceríamos se você
informasse de maneira particular o Comitê de Segurança do Produto Kubernetes sobre quaisquer vulnerabilidades encontradas relacionadas ao Kubernetes, mesmo que elas estejam além do escopo da recompensa por erros.
Uma lista completa de tópicos e áreas dentro da recompensa de bugs pode ser encontrada na
página do programa .
Procedimentos de vulnerabilidade e divulgação de informações
O Comitê de Segurança do Kubernetes é composto por especialistas em segurança, responsáveis por receber e relatar problemas de segurança no Kubernetes. Em seu trabalho, eles seguem um processo bem documentado para responder a vulnerabilidades, que envolve classificação inicial, avaliação das conseqüências, criação de uma correção e implementação.
No nosso caso, a plataforma HackerOne organiza o programa, classificação primária e avaliação básica. Graças a isso, nossos especialistas em segurança do Kubernetes podem se concentrar em erros realmente significativos. Tudo o resto permanece o mesmo: o Comitê de Segurança continuará a desenvolver patches, coletar patches fechados e coordenar lançamentos especiais. O lançamento de novos lançamentos com correções de segurança será anunciado no canal
kubernetes-security-announce@googlegroups.com .
Aqueles que desejam relatar um bug podem fazer isso de
maneira clássica (ignorando o programa de recompensas por bug). Para fazer isso, envie seu relatório para
security@kubernetes.io .
Por onde começar?
Assim como muitas organizações suportam software de código aberto contratando desenvolvedores, o pagamento de bônus por meio de recompensas de bugs ajuda a apoiar pesquisadores de segurança. Este programa é uma etapa crítica para o Kubernetes, permitindo que você fortaleça sua própria comunidade de profissionais de segurança e os recompense pelo trabalho duro.
Se você é um especialista em segurança novo no Kubernetes, consulte os seguintes recursos. Eles ajudarão você a iniciar a busca de bugs:
- Guias de segurança :
- Frameworks
- Discursos :
Se você encontrar uma vulnerabilidade, informe-a ao programa de recompensas por bugs do Kubernetes em
https://hackerone.com/kubernetes .
PS do tradutor
Leia também em nosso blog: