Cloud Native Computing Foundation startet Bug-Bounty-Programm für Kubernetes

Die Cloud Native Computing Foundation (CNCF) hat den Start eines Bug-Bounty-Programms für die Container-Orchestrierung Kubernetes bekanntgegeben. Die einzuholenden Belohnungen haben einen Wert zwischen 100 US-Dollar und 10.000 US-Dollar. Um das Programm zu verwalten, hat sich die CNCF mit Google und HackerOne zusammengeschlossen.

Entstanden ist das Programm durch die Arbeit des Kubernetes-Product-Security-Komitees, das sich um Sicherheitsangelegenheiten rund um die Container-Orchestrierung kümmert. Der Internetriese Google erklärt in einem dazugehörigen Blogbeitrag, dass das Unternehmen von Beginn an der Entwicklung beteiligt gewesen sei. Zu seinen Aufgaben gehörten eine Evaluierung verschiedener Anbieter sowie das letztliche Onboarding von HackerOne. Um Teil des Programms zu werden, musste das Team von HackerOne die Prüfung zum Certified Kubernetes Administrator (CKA) bestehen.

Das Programm im Überblick

Die Unternehmen führen wohl schon seit einigen Monaten einen Testlauf des Konzepts durch. Einige Security--Experten waren eingeladen, erste Bugs aufzuspüren und den Prozess zu durchlaufen. Nun soll es bereit für die Öffentlichkeit sein: Interessierte können gefundene Fehler auf der offiziellen Projektseite melden. Versprochen wird eine initiale Antwortzeit binnen eines Tages, im Schnitt versuchen die Unternehmen eine Belohnung innerhalb eines Monats auszuschütten.

Grundsätzlich möchte das Security-Komitee ein Veröffentlichen des Fehlers mit dem jeweiligen Security-Experten aushandeln. Nutzer sollen erfahren, wo eine etwaige Sicherheitslücke lag, sobald diese zufriedenstellend behoben ist. Das Programm unterscheidet dabei drei verschiedene Ebenen: Den Kubernetes-Kern, Features von Nicht-Kern-Komponenten und die Kubernetes-Infrastruktur. Die ausgeschütteten Gelder fallen in dieser Reihenfolge ab, zusätzlich gibt es eine Abstufung in kritische, hohe, mittlere und geringe Wichtigkeit. (bbo)