Фонд Cloud Native Computing Foundation (CNCF) объявил о запуске программы вознаграждения за уязвимости в популярнейшем оркестраторе Kubernetes, разместившейся на платформе HackerOne.
Bug bounty программа находилась в закрытой бета-версии несколько месяцев, а с момента первого анонса и вовсе прошло уже почти два года. Теперь программа наконец открывается для всех исследователей в области безопасности.
Разработчики обещают реагировать на представленные доклады об уязвимостях в течениеодного рабочего дня, сортировать уязвимости в течение 10 дней, и выплачивать вознаграждения в течение 10 дней после этого.
Размер вознаграждений варьируется от 100 до 10000 долларов США. Самые крупны выплаты ждут тех, кто сумеет обнаружить уязвимости, к примеру, затрагивающие ядро Kubernetes, недостатки, которые можно использовать для внесения изменений в исходный код.
Программа распространяется на основной код Kubernetes, хранящийся на GitHub, а также на проблемы связанные с непрерывной интеграцией, релизами и артефактами в документации. В частности, разработчиков интересуют дыры в безопасности, которые могут привести к кластерным атакам (включая эскалацию привилегий, баги аутентификации и удаленное выполнение кода в kubelet’ах или API сервере).