cómo Google apoya la nueva recompensa de errores de Kubernetes


En Google, nos preocupamos profundamente por la seguridad de los proyectos de código abierto, ya que son una parte tan importante de nuestra infraestructura y, de hecho, de todos. Hoy, la Cloud-Native Computing Foundation (CNCF) anunció un nuevo programa de recompensas de errores para Kubernetes que ayudamos a crear y poner en marcha. Aquí hay una breve descripción typical del programa, otras formas en que ayudamos a asegurar proyectos de código abierto e información sobre cómo puede participar.
Lanzamiento del programa de recompensas de errores Kubernetes


Kubernetes es un proyecto de CNCF. Como parte de sus criterios de graduación, el CNCF financió recientemente el primer proyecto auditoria de seguridad, para revisar sus áreas centrales e identificar posibles problemas. La auditoría identificó y abordó varios problemas de seguridad previamente desconocidos. Afortunadamente, Kubernetes ya tenía un Comité de seguridad del producto, incluidos los ingenieros del equipo de seguridad de Google Kubernetes Engine (GKE), que responden y corrigen cualquier mistake recientemente descubierto. Pero el trabajo de asegurar un proyecto de código abierto nunca se hace. Para aumentar la conciencia sobre el modelo de seguridad de Kubernetes, atraer nuevos investigadores de seguridad y recompensar los esfuerzos en curso en la comunidad, comenzó el Comité de Seguridad de Productos de Kubernetes discusiones en 2018 sobre el lanzamiento de un programa oficial de recompensas de errores.
Encuentra errores de Kubernetes, recibe un pago

¿Qué tipo de errores reconoce el programa de recompensas? La mayor parte del contenido que consideraría como Kubernetes &#39núcleo&#39, incluido en https://github.com/kubernetes, está en alcance. Nos interesan los tipos comunes de problemas de seguridad, como la ejecución remota de código, la escalada de privilegios y los errores en la autenticación o autorización. Debido a que Kubernetes es un proyecto comunitario, también estamos interesados ​​en la cadena de suministro de Kubernetes, incluidos los procesos de compilación y lanzamiento que pueden permitir que una persona malintencionada obtenga acceso no autorizado a los compromisos, o que afecte los artefactos de compilación. Esto es un poco diferente de su recompensa de errores estándar, ya que no hay un entorno «en vivo» para que pruebe: Kubernetes se puede configurar de muchas maneras diferentes, y estamos buscando errores que afecten a cualquiera de ellos (excepto cuando existan las opciones de configuración podrían mitigar el error). Gracias al apoyo continuo de la CNCF y la financiación de este nuevo programa, dependiendo del mistake, puede ser recompensado con una recompensa de entre $ 100 y $ 10,000.

El programa de recompensas de errores ha estado en una versión privada durante varios meses, con investigadores invitados enviando errores y para ayudarnos a probar el proceso de clasificación. ¡Y hoy, el nuevo programa de recompensas de errores de Kubernetes está en vivo! Estamos entusiasmados de ver qué tipo de errores descubres y estamos listos para responder a nuevos informes. Puede obtener más información sobre el programa y cómo participar aquí.
Dedicado a la seguridad de Kubernetes

Google ha estado involucrado en esta nueva recompensa de errores de Kubernetes desde el principio: proponiendo el programa, completando evaluaciones de proveedores, definiendo el alcance inicial, probando el proceso y la incorporación HackerOne para implementar la solución de recompensa de errores. Aunque este es un gran esfuerzo, es parte de nuestro compromiso continuo para asegurar Kubernetes. Google continúa involucrado en cada parte de la seguridad de Kubernetes, incluyendo respondiendo a vulnerabilidades como parte del Comité de seguridad de productos de Kubernetes, presidir el grupo de interés especial sig-auth Kubernetesy liderando la mencionada auditoría de seguridad de Kubernetes. Somos conscientes de que la seguridad es una parte essential de la decisión de cualquier usuario de utilizar una herramienta de código abierto, por lo que dedicamos recursos para ayudar a garantizar que proporcionamos la mejor seguridad posible para Kubernetes y GKE.

Aunque el programa de recompensas de errores de Kubernetes es nuevo, no es una estrategia novedosa para Google. Hemos disfrutado de una estrecha relación con la comunidad de investigación de seguridad durante muchos años y, en 2010, Google estableció nuestra propia Programa de recompensas de vulnerabilidad (VRP). El VRP proporciona recompensas por vulnerabilidades reportadas en GKE y prácticamente todos los demás servicios de Google Cloud. (Si encuentra un mistake en GKE que no es específico del núcleo de Kubernetes, ¡aún debe informarlo al Google VRP!) Tampoco es Kubernetes el único proyecto de código abierto con un programa de recompensa por errores. De hecho, recientemente expandimos nuestro Programa de recompensas de parches para proporcionar recompensas financieras tanto por adelantado como después del hecho para mejoras de seguridad en proyectos de código abierto.




Enlace a la noticia authentic