向可以脱离实验室环境的道德黑客提供的最高10,000美元的奖励
Google扩大了它的脆弱性奖励计划(VRP)涵盖在所有关键开源依赖性中发现的特权升级错误Google Kubernetes引擎(gke)。
邀请安全研究人员找到漏洞在新建的实验室环境中,该环境基于基于Kubernetes的捕获标准(CTF)项目。
在范围中,在所有依赖项中都是可利用的漏洞,可以导致节点折衷,包括Linux内核中的特权升级错误或基础硬件或基础架构组件。
硬化实验室
宣布昨天(5月28日),此举遵循发射在1月,云机构计算基金会(CNCF)的Kubernetes Bug Bounty计划是Kubernetes项目维护者。
研究人员接受了硬化的GKE实验室,该实验室基于KCTF项目,必须脱离在Kubernetes Pod上运行的容器化环境,并阅读两个秘密标志之一:一个在同一吊舱中或另一个在不同名称空间中的Kubernetes Pod中。
旗帜将经常更改,参与者必须提交秘密标志作为开发证明。
与CNCF-Run Kubernetes计划一样,支出的价格将高达10,000美元。
仅在Google或Kubernetes代码中存在的错误将分别获得额外的Google VRP或CNCF Kubernetes奖励。
固定云
Kubernetes于2014年由Google开源,是一个可移植的,可扩展的平台,用于管理容器化的工作负载和服务。
“在2020年3月,我们宣布获胜者对于第一个Google Cloud平台(GCP)VRP奖,从那时起,我们就看到了Google Cloud上的兴趣和研究的增加。
“通过这项新的计划,我们希望通过经验丰富的安全研究人员对Google Cloud提出更多的认识,因此我们都可以共同努力以确保我们的共享开源基础。”
Google还在GKE Lab Environment上寻求安全社区的反馈,该环境新近建立在GitHub上开源的CTF基础架构之上。
