Kubernetes、バグ発見に報酬を払うプログラムを開始
コンテナクラスタ構築・管理ツールKubernetesが、バグ発見に報酬を支払うプログラム(bug bounty program)を実施する。報酬金額は200~1万ドル。一般のセキュリティ専門家によるバグ発見を奨励することで、普及が進むKubernetesの安全性確保を図る。
Kubernetes Product Security Committeeが1月14日に発表した。Kubernetes Product Security Committeeはセキュリティにフォーカスしたメンテナーを集めた委員会で、セキュリティ問題の報告を受け取ったり、それへの回答を行っている。
バグ発見報酬プログラムは2018年2月に最初の提案がされていたもので、その後選定したバグ報酬プログラムベンダーであるHackerOneからのフィードバックとKubernetesセキュリティ監査を反映させて体系を作った。すでに数か月間非公開ベータとして運営しており、今回一般のセキュリティ専門家向けに発表した。プログラムには、Kubernetesが傘下に入っているLinux Foundationの Cloud Native Computing Foundation(CNCF)が出資する。
最新のプログラムの下、報告を受けたバグに対して最初のトリアージと評価はHackerOneが行う。これにより、Kubernetes Product Security Committeeは根拠のある問題のみに対応することができるとしている。その後のプロセスはこれまでと同じで、同コミッティが修正パッチの開発などを行い、セキュリティリリースを調整するという。
プロジェクトによると、Kubernetesの認定ディストリビューションは100種以上あるが、バグ発見報酬プログラムではこれらの土台となっているGitHub上の「Kubernetes」Organizationで公開されているコードが対象となる。また、コミュニティが管理するツール、メーリングリストやSlackチャネル、Linuxカーネルやそのほかの依存対象に対する攻撃などは対象外としている。
Kuberntesのバグ発見報酬プログラムに関する詳細は、HackerOneの専用ページ、GitHubのKuberntesのセキュリティページより入手できる。
HackerOneのKubernetesページ
https://hackerone.com/kubernetes
GitHubのKuberntesセキュリティページ
https://github.com/kubernetes/security/blob/master/security-release-process.md