top of page

Kubernetes: un programme de bug bounty annoncé

Kubernetes: un programme de bug bounty annoncé

Kubernetes, le programme d’orchestration de conteneurs, est devenu un incontournable. Tout le monde aujourd’hui l’adopte. Mais avec des mises à jour majeures trimestrielles et des déploiements toujours plus rapides, la sécurité devient une véritable préoccupation. Ainsi, le comité de sécurité des produits Kubernetes, financé par la Cloud Native Computing Foundation (CNCF), lance un nouveau programme de bug bounty pour récompenser les chasseurs de failles de sécurité Kubernetes.

Le programme de bug bounty est en version beta privée depuis plusieurs mois maintenant. Près de deux ans après la première version, le programme est désormais prêt pour s’ouvrir à tous les chercheurs en sécurité.

publicité

Maya Kaczorowski, chef de produit Google Cloud pour la sécurité des conteneurs, a déclaré:

Kubernetes dispose déjà d’une solide équipe de sécurité et d’un processus de réponse, encore renforcé par le récent audit de sécurité de Kubernetes. Nous avons un projet open source plus solide et plus sécurisé que jamais. En lançant un programme de bug bounty, nous plaçons notre argent là où nous en avons besoin et nous récompensons les chercheurs qui effectuent déjà ce travail important. Nous espérons attirer des chercheurs en sécurité supplémentaires pour obtenir une meilleure supervision du code, éliminer les bugs de sécurité et soutenir nos travaux sur la sécurité de Kubernetes avec un soutien financier.

Ce programme de gestion des bug sera mis en oeuvre par HackerOne, une société de sécurité qui se vante d’être gérée par des hackers. Pour mener à bien le programme, tous les membres de l’équipe HackerOne sont des administrateurs certifiés Kubernetes (CKA). Ce n’est pas une tâche facile. Il existe plus de 100 distributions certifiées de Kubernetes, et le bug bounty couvre tout le code Kubernetes.

Plus précisément, la programme de bug bounty couvre le code Kubernetes principal conservé sur GitHub. Il surveille également les artefacts d’intégration, de publication et de documentation en continu. En particulier, les chercheurs recherchent des failles de sécurité qui pourraient conduire à des attaques de cluster. Cela inclut les élévations de privilèges, les bugs d’authentification et l’exécution de code à distance dans le kubelet ou le serveur API.

Ils recherchent également des failles pouvant permettre des fuites d’informations sur la charge de travail ou des modifications de permissions inattendues. Les chercheurs en sécurité seront également encouragés à examiner la chaîne d’approvisionnement de Kubernetes, y compris les processus de génération et de publication.

Le programme ne couvre pas les outils de gestion de la communauté, comme les listes de diffusion Kubernetes ou le canal Slack. Les échappements de conteneurs, les attaques sur le noyau Linux ou d’autres dépendances, telles que etcd, sont également hors de portée et doivent être signalés à leurs équipes de sécurité. Cela dit, le programme s’intéresse à toute vulnérabilité de Kubernetes, même si elle n’est pas dans le scope du bug bounty. Ces informations doivent être divulguées en privé au Comité de sécurité des produits Kubernetes.

Les récompenses pour les failles de sécurité trouvées dans les principaux programmes Kubernetes vont de 200 $ pour les problèmes de faible priorité à 10 000 $ pour les problèmes critiques. Pour plus de détails sur le fonctionnement du programme de primes, consultez la page de primes Kubernetes de HackerOne.

Source : ZDNet.com

0 vue0 commentaire

Comments


bottom of page