Фонд Cloud Native Computing Foundation (CNCF) объявил о запуске программы вознаграждения за уязвимости в популярнейшем оркестраторе Kubernetes, разместившейся на платформе HackerOne.

Bug bounty программа находилась в закрытой бета-версии несколько месяцев, а с момента первого анонса и вовсе прошло уже почти два года.  Теперь программа наконец открывается для всех исследователей в области безопасности.

Разработчики обещают реагировать на представленные доклады об уязвимостях в течениеодного рабочего дня, сортировать уязвимости в течение 10 дней, и выплачивать вознаграждения в течение 10 дней после этого.

Размер вознаграждений варьируется от 100 до 10000 долларов США.  Самые крупны выплаты ждут тех, кто сумеет обнаружить уязвимости, к примеру, затрагивающие ядро ​​Kubernetes, недостатки, которые можно использовать для внесения изменений в исходный код.

Программа распространяется на  основной код Kubernetes, хранящийся на GitHub, а также на проблемы связанные с непрерывной интеграцией, релизами и артефактами в документации. В частности, разработчиков интересуют дыры в безопасности, которые могут привести к кластерным атакам (включая эскалацию привилегий, баги аутентификации и удаленное выполнение кода в kubelet’ах или API сервере).

Оставить мнение