Buluttan Bilgi İşleme Vakfı (CNCF) bugün, konteyner düzenleme sistemi Kubernetes [1] için bir hata ayıklama ödül programı açıkladı. Ödüller bulunan hatanın cinsine göre 100 $ ile 10.000 $ arasında değişecek. Programı CNCF, Google ve HackerOne birlikte oluşturdular [2].
Kubernetes’i oluşturan Google’ın zaten kendi güvenlik ekibinden mühendisleri içeren bir Ürün Güvenlik Komitesi var. Bununla birlikte, ödül programı daha fazla (ve yeni) güvenlik araştırmacısına kodu incelemek ve varsa farklı hataları yakalamak için bir fırsat olacak. Google, Kubernetes güvenliği konusunda ek güvenlik araştırmacılarını çekmeyi umuyor ve bunun için de para ödemeye hazır. Güvenlik araştırmacılarını ödüllendirecek.
Program, GitHub üzerinde yer alan tüm temel Kubernetes bileşenlerini kapsıyor. Özellikle, kubelet ve API sunucusundaki kimlik doğrulama hataları, ayrıcalık yükseltmeleri ve uzaktan kod yürütme hatalarıyla ilgileniliyor. CNCF ayrıca araştırmacıların tüm Kubernetes tedarik zincirine bakmaya teşvik edildiğini de vurguluyor.
Programın detayları ayrıca HackerOne tarafından sunuluyor [3].
[2] Introducing the Kubernetes Bug Bounty Program
[3] Kubernetes