Kubernetes、バグ発見に報酬を払うプログラムを開始

　コンテナクラスタ構築・管理ツールKubernetesが、バグ発見に報酬を支払うプログラム（bug bounty program）を実施する。報酬金額は200～1万ドル。一般のセキュリティ専門家によるバグ発見を奨励することで、普及が進むKubernetesの安全性確保を図る。

　Kubernetes Product Security Committeeが1月14日に発表した。Kubernetes Product Security Committeeはセキュリティにフォーカスしたメンテナーを集めた委員会で、セキュリティ問題の報告を受け取ったり、それへの回答を行っている。

　バグ発見報酬プログラムは2018年2月に最初の提案がされていたもので、その後選定したバグ報酬プログラムベンダーであるHackerOneからのフィードバックとKubernetesセキュリティ監査を反映させて体系を作った。すでに数か月間非公開ベータとして運営しており、今回一般のセキュリティ専門家向けに発表した。プログラムには、Kubernetesが傘下に入っているLinux Foundationの Cloud Native Computing Foundation（CNCF）が出資する。

　最新のプログラムの下、報告を受けたバグに対して最初のトリアージと評価はHackerOneが行う。これにより、Kubernetes Product Security Committeeは根拠のある問題のみに対応することができるとしている。その後のプロセスはこれまでと同じで、同コミッティが修正パッチの開発などを行い、セキュリティリリースを調整するという。

　プロジェクトによると、Kubernetesの認定ディストリビューションは100種以上あるが、バグ発見報酬プログラムではこれらの土台となっているGitHub上の「Kubernetes」Organizationで公開されているコードが対象となる。また、コミュニティが管理するツール、メーリングリストやSlackチャネル、Linuxカーネルやそのほかの依存対象に対する攻撃などは対象外としている。

　Kuberntesのバグ発見報酬プログラムに関する詳細は、HackerOneの専用ページ、GitHubのKuberntesのセキュリティページより入手できる。

HackerOneのKubernetesページ
https://hackerone.com/kubernetes

GitHubのKuberntesセキュリティページ
https://github.com/kubernetes/security/blob/master/security-release-process.md