文 / Maya Kaczorowski, 产品经理, Container Security 和 Aaron Small, 产品经理, GKE On-Prem Security
开源项目是 Google 基础设施重要的组成部分,对每个人而言也是如此,因此我们非常关心项目的安全。今天,云原生计算基金会 (Cloud-Native Computing Foundation, CNCF) 宣布启动我们曾帮助创建、启动和运营的新版 Kubernetes 漏洞赏金计划。下面是该计划内容的简要概览:我们如何协助提升开源项目安全,以及大家如何参与到其中。
启动 Kubernetes 漏洞赏金计划
Kubernetes 是 CNCF 的一个项目。作为其毕业标准的一部分,CNCF 最近资助了该项目的初次安全审计,旨在审查其核心领域并发现潜在问题。这次审计发现并解决了多个潜在安全问题。
值得庆幸的是,Kubernetes 已经成立了产品安全委员会 (Product Security Committee),其成员包括来自 Google Kubernetes Engine (GKE) 安全团队的工程师,他们负责响应并修复所有新发现的漏洞。
然而,保护开源项目安全的工作永无休止。为了提高人们对 Kubernetes 安全模型的认识、吸引新的安全研究人员参与其中,以及奖励社区的不懈努力,Kubernetes 产品安全委员会从 2018 年就在探讨正式启动一个漏洞赏金计划。
找到 Kubernetes 漏洞,获得赏金
赏金计划认可哪些漏洞?您认为属于Kubernetes “核心”(收录在 https://github.com/kubernetes 中)的大多数内容都在认可的范围内。我们对常见的安全问题很感兴趣,例如远程代码执行、提权以及身份验证或授权中的漏洞。
由于 Kubernetes 是社区项目,所以我们对 Kubernetes 供应链也很感兴趣。供应链包括构建和发布流程,某些恶意个人可能通过这些流程对提交内容进行未经授权的访问,或者以其他方式影响构建工件。
与标准的漏洞赏金计划略有不同是,没有提供一个您可进行测试的“实时”环境。由于可以通过许多不同的方式配置 Kubernetes,因此我们正在寻找会影响其中任何一种方式的漏洞(现有的配置选项可以缓解此类漏洞时除外)。
得益于 CNCF 对此项新计划的持续支持和资助,根据漏洞的严重程度,您可以获得 100 到 10000 美元不等的奖金。
漏洞赏金计划在内部试运行了几个月,我们邀请了多名研究人员提交漏洞并帮助我们测试定级流程。今天,Kubernetes 漏洞赏金计划正式上线!我们期待着您的参与与提交,并且已经做好准备以响应与处理新的漏洞提交。您可在此处了解有关该计划以及如何参与的更多信息。
致力于保护 Kubernetes 安全
Google 全程参与了这项全新 Kubernetes 漏洞赏金计划:从提出计划、完成供应商评估,到定义初始范围,再到测试流程,以及与 HackerOne 合作上线漏洞赏金计划。
尽管期间我们付出了种种努力,但这是我们保护 Kubernetes 安全性的一贯宗旨相一致。Google 会继续参与到 Kubernetes 安全工作的各个部分中,包括作为 Kubernetes 产品安全委员会的一员对漏洞作出响应、主持 SIG-Auth Kubernetes 特别兴趣小组 (Special Interest Group),以及领导前文提及的 Kubernetes 安全审计。我们了解安全性是任何用户决定是否使用开源工具的关键因素,因此我们致力于提供资源以确保我们为 Kubernetes 和 GKE 提供最佳安全保障。
Kubernetes 漏洞赏金计划虽刚刚上线,但对 Google 而言,这个策略并不陌生。
多年来,我们一直与安全研究界保持紧密联系。2010 年,Google 建立了自己的漏洞奖励计划 (Vulnerability Rewards Program, VRP)。VRP 为在 GKE 和几乎所有其他 Google Cloud 服务中提交的漏洞提供奖励(如果您在 GKE 中找到了并非特定于 Kubernetes 核心的漏洞,您还可以将其提交给 Google VRP)。Kubernetes 也不是唯一拥有漏洞赏金计划的开源项目。实际上,我们最近扩展了补丁奖励计划 (Patch Rewards program),通过在进行安全改进前和完成后提供资金奖励,来提升开源项目的安全性。
帮助维护全球基础架构安全。向 Kubernetes 漏洞赏金计划提交漏洞,或向 Google VRP 提交 GKE 漏洞。
如果您想详细了解 本文讨论 的相关内容,请参阅以下文档。这些文档深入探讨了这篇文章中提及的许多主题:
Kubernetes 漏洞赏金计划 / 提交漏洞
https://hackerone.com/kubernetesKubernetes
https://kubernetes.io/毕业标准
https://github.com/cncf/toc/pull/145安全审计
https://github.com/kubernetes/community/blob/master/wg-security-audit/findings/Kubernetes%20Final%20Report.pdf产品安全委员会
https://github.com/kubernetes/community/tree/master/committee-product-security2018 年开始探讨
https://docs.google.com/document/d/1dvlQsOGODhY3blKpjTg6UXzRdPzv5y8V55RD_Pbo7ag/edit#heading=h.7t1efwpev42p此处
https://kubernetes.io/blog/2020/01/14/kubernetes-bug-bounty-announcement/HackerOne
https://www.hackerone.com/blog/hackerone-launches-bug-bounty-program-kubernetes对漏洞作出响应
https://cloud.google.com/blog/products/containers-kubernetes/exploring-container-security-vulnerability-management-in-open-source-kubernetes主持 SIG-Auth Kubernetes 特别兴趣小组
https://github.com/kubernetes/community/tree/master/sig-authKubernetes 安全审计
https://cloud.google.com/blog/products/containers-kubernetes/kubernetes-security-audit-what-gke-and-anthos-users-need-to-know漏洞奖励计划
https://www.google.com/about/appsecurity/reward-program/补丁奖励计划
https://www.google.com/about/appsecurity/patch-rewards/通过在进行安全改进前和完成后
https://security.googleblog.com/2019/12/announcing-updates-to-our-patch-rewards.htmlGoogle VRP
https://www.google.com/about/appsecurity/reward-program/
— 推荐阅读 —
