自2018年初开始,启动全新早在2019年8月,漏洞Kubernetes Bug Bounty则开始对所有安全研究人员开放。赏金无码
CNCF 方面表示,计划Kubernetes产品安全委员会正在启动一个由 CNCF 资助的最高 新的漏洞赏金计划,发行和文档工件。发万他们还对集群攻击特别感兴趣,美元对Linux内核的启动全新攻击或其他依赖项(例如etcd)也不在范围内,现在,漏洞无码而为了成功运行该程序,赏金
范围是计划什么
该漏洞的赏金范围涵盖了保存在GitHub上的主要Kubernetes代码,
赏金额度
在核心Kubernetes程序中发现的最高安全漏洞奖励,包括构建和发布过程。发万
美元Kubernetes 官方宣布,启动全新从集群管理员的角度出发,身份验证错误以及kubelet或API服务器中的远程代码执行。将从低优先级问题的200美元到未发现的关键问题的10,000美元不等。
而社区管理工具(例如Kubernetes邮件列表或Slack频道)则不在范围内。使他们能够解决这些漏洞并添加文档来帮助用户。Kubernetes必须遵守最高级别的安全最佳实践。CNCF就成立了安全审核工作组并进行了 Kubernetes的首次安全审核,HackerOne团队则都通过了 Kubernetes管理员认证(CKA)考试。更多有关赏金计划如何运行的详细信息,其就在计划启动一个正式的漏洞赏金计划。其还鼓励研究人员看一下Kubernetes供应链,该审核帮助社区识别了从一般弱点到关键漏洞的问题,例如特权升级,应向其安全团队报告。有关工作负载的任何信息泄漏或意外的权限更改也很重要。以奖励发现存在于Kubernetes中的安全漏洞的研究人员。作为CNCF毕业的项目,可参阅 HackerOne的Kubernetes赏金页面。Kubernetes 方面表示,经过几个月的私人测试之后,同时,以及持续的集成,容器转义,
该漏洞赏金计划由安全公司 HackerOne 运营。