本周,谷歌宣布称扩展其漏洞奖励计划 (VRP),谷歌 Kubernetes Engine (GKE) 重要的依赖关系被纳入其中。
这一漏洞奖励扩展计划基于今年早些时候推出的云原生计算基金会 (CNCF) 、谷歌及其它组织机构合力成立的 Kubernetes 漏洞奖励计划,该计划提供的最高奖励金是1万美元。谷歌的漏洞奖励计划将涵盖加固的 GKE 实验室集群中的提权漏洞。谷歌指出,“它将涵盖所有依赖关系中可利用的且可导致节点受陷的漏洞,如 Linux 内核中的提权漏洞、位于基础设施底层硬件或其它组件中的可导致 GKE 集群内提权后果的漏洞。”谷歌目前正在邀请漏洞猎人在基于 kCTF 的 GKE 上的实验室环境中查找漏洞。kCTF 是基于 Kubernetes 的开源夺旗项目。参与者需要突破在 Kubernetes pod 上运行的容器化环境并读取两个旗子中的一个(一个位于相同的 pod 上,另外一个位于另一个 pod 上,它们位于不同的名称空间)。参与者需要将这些旗子作为利用成功的证据,因为实验室环境并不存储数据。谷歌表示这些旗子将会经常发生改变。谷歌表示如果参与者发现影响实验室 GKE 环境且可导致两个旗子均被窃取的漏洞,则最高可获得1万美元的奖励(具体用例具体分析)。参与者可提交从 Linux、Kubernetes、kCTF、谷歌或其它任何依赖关系中找到的漏洞。仅影响谷歌代码的漏洞会获得其它的VRP奖励金,而仅影响 Kubernetes 代码的漏洞将获得其它的 CNCF Kubernetes 奖励金。谷歌解释称,“在 GKE 之外的地方发现的任何漏洞(如 Kubernetes 或 Linux 内核)均应被报告给相应的上游项目安全团队。为使该计划扩展对维护人员变得尽可能有效,我们将只奖励可通过窃取一个旗子被利用的漏洞。”该开源kCTF 环境是谷歌新推出的,该公司旨在真正将其积极用于 CTF 竞争活动之前接受反馈意见。谷歌表示,“将 CTF 基础设施涵盖到谷歌 VRP 范围内,我们想要鼓励安全社区帮助我们不仅保护将会使用它的 CTF 竞赛活动的安全,同时保护 GKE 以及更大的 Kubernetes 生态系统的安全。”
https://www.securityweek.com/google-adds-gke-open-source-dependencies-vulnerability-rewards-program
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~