2min

De Cloud Native Computing Foundation (CNCF) heeft de creatie aangekondigd van een nieuw bug bounty-programma voor Kubernetes. Het doel van het programma is om de veelgebruikte open-source technologie beter te beveiligen.

Bug bounty betekent dat IT-ers die bugs ontdekken financiële compensatie daarvoor krijgen, wat meer mensen moet aanzetten tot het opsporen van bugs. Aangezien Kubernetes ondertussen de meest populaire tool is voor container orchestration, zullen er ook steeds vaker security-problemen de kop op steken.

De CNCF zegt dat HackerOne is geselecteerd om het bug bounty-programma uit te voeren. Eventuele bugs die worden ontdekt, zullen dus eerst worden beoordeeld door experts van HackerOne. Deze bugs worden vervolgens doorgegeven aan het Kubernetes Product Security Committee, dat bestaat uit ingenieurs van het Kubernetes Engineer security-team van Google. Dat team is uiteindelijk verantwoordelijk voor het uitrollen van patches.

GitHub codebase

De bug bounty is vooral gericht op zwakke punten die ontdekt zijn in de gemeenschappelijke codebase op GitHub, waarop alle Kubernetes-distributies gebaseerd zijn. “In principe omvat het project de meeste inhoud die je zou kunnen zien als ‘core’ Kubernetes”, schreven Google-ingenieurs Maya Kaczorowski en Tim Allclair, leden van het Kubernetes Product Security Committee, over het project.

“We zijn vooral geïnteresseerd in clusteraanvallen, zoals privilege escalations, authenticatiefouten en het op afstand draaien van code in de kubelet of API-server,” zeiden de twee ingenieurs. “Datalekken over een workload en onverwachte toestemmingsveranderingen zijn ook interessant. We moedigen iedereen ook aan om te kijken naar de Kubernetes-supply chain, inclusief de build- en releaseprocessen. Deze supply chain maakt ongeautoriseerde toegang tot commits mogelijk, evenals de mogelijkheid om ongeautoriseerde artifacts te publiceren”.