CNCF为K8s提供漏洞赏金计画

云端原生运算基金会（CNCF）发布了新的Kubernetes的漏洞赏金计画，以奖励发现Kubernetes漏洞的研究人员，给予100美元到1万美元不等的奖金。这项计画由CNCF、Google和漏洞赏金计画厂商HackerOne合作提供。

Kubernetes是CNCF旗下的专案之一，受到广泛的使用，其安全性受到高度的重视，在之前从孵化器毕业时，CNCF就出资对Kubernetes进行了首次的安全审核，作为毕业的检验标準，该次审核发现并且解决了一些过去未知的安全问题，而Kubernetes也已经成立了自己的产品安全委员会，成员包括了来自Google Kubernetes Engine安全团队的工程师，负责修补新发现的漏洞。

早从2018年开始，Kubernetes产品安全委员会就开始讨论启动正式的漏洞赏金计画，以吸引新的安全研究人员为社群工作。新推出的赏金计画的涵盖的範围，包含了GitHub储存库中所有Kubernetes核心元件的臭虫，包括远端程式码执行、特权升级或是身份验证错误等。

另外，由于Kubernetes是一个社群专案，因此在Kubernetes供应链中的臭虫也是这项计画的奖励对象，像是建置和发布的过程，可能允许恶意人士未经授权存取提交，或影响其他建置生成档案的臭虫，也在奖励範围。不过，官方提到，社群管理工具、容器跳脱（Container Escape）、Linux核心攻击，或是其他相依相目，则不在计画範围之内。

视研究人员发现的臭虫严重程度，CNCF提供100美元到1万美元不等的奖金，这项计画已经秘密进行了几个月，透过邀请研究人员提交错误以测试分类程式，而现在这项计画正式启动。与其他漏洞赏金计画不同的是，CNCF没有规定Kubernetes测试的标準环境，研究人员能以不同的方式配置Kubernetes，CNCF希望寻找出现在各种情况的漏洞。

特别的是，这是少见为开源基础设施设置的漏洞赏金计画，即便目前有一些开源的赏金计画，像是网际网路漏洞赏金计画，是针对跨环境部署的核心元件，而绝大多数的漏洞赏金计画，都还是只针对託管的网页应用程式，而Kubernetes却拥有超过100个认证发布版，这项计画是针对支援这些发布版，所共同使用的核心程式码。

CNCF提到，Kubernetes漏洞赏金计画最困难的部分，是确认漏洞赏金计画厂商以及训练第一线的研究人员，使其具备足够的Kubernetes知识，以测试所有错误报告的有效性，HackerOne团队也通过了Kubernetes管理员认证（CKS）测验。

Google积极参与这项漏洞赏金计画建置过程，从提出程序、厂商评估、定义初始範围、测试程序以及帮助HackerOne上线等工作。CNCF则提到，他们尽可能透明地建立这个计画，包括从最初的提案开始，到评估厂商以及相关工作草案等工作。