Kubernetes 启动新的漏洞赏金计划
Kubernetes 官方宣布,Kubernetes 产品安全委员会正在启动一个由 CNCF 资助的 新的漏洞赏金计划,以奖励发现存在于 Kubernetes 中的安全漏洞的研究人员。
CNCF 方面表示,作为 CNCF 毕业的项目,Kubernetes 必须遵守最高级别的安全最佳实践。早在 2019 年 8 月,CNCF 就成立了安全审核工作组并进行了 Kubernetes 的首次安全审核,该审核帮助社区识别了从一般弱点到关键漏洞的问题,使他们能够解决这些漏洞并添加文档来帮助用户。
自 2018 年初开始,其就在计划启动一个正式的漏洞赏金计划。现在,经过几个月的私人测试之后,Kubernetes Bug Bounty 则开始对所有安全研究人员开放。
该漏洞赏金计划由安全公司 HackerOne 运营。而为了成功运行该程序,HackerOne 团队则都通过了 Kubernetes 管理员认证(CKA)考试。
范围是什么
该漏洞的赏金范围涵盖了保存在 GitHub 上的主要 Kubernetes 代码,以及持续的集成,发行和文档工件。Kubernetes 方面表示,他们还对集群攻击特别感兴趣,例如特权升级,身份验证错误以及 kubelet 或 API 服务器中的远程代码执行。同时,有关工作负载的任何信息泄漏或意外的权限更改也很重要。从集群管理员的角度出发,其还鼓励研究人员看一下 Kubernetes 供应链,包括构建和发布过程。
而社区管理工具(例如Kubernetes邮件列表或Slack频道)则不在范围内。容器转义,对 Linux 内核的攻击或其他依赖项(例如 etcd)也不在范围内,应向其安全团队报告。
赏金额度
在核心 Kubernetes 程序中发现的安全漏洞奖励,将从低优先级问题的 200 美元到未发现的关键问题的 10,000 美元不等。更多有关赏金计划如何运行的详细信息,可参阅 HackerOne 的 Kubernetes 赏金页面。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
谷歌将逐步弃用 Chrome 中的用户代理字符串
谷歌宣布,将从 Chrome 81 开始,逐步淘汰 Chrome 浏览器中用户代理字符串的使用。 用户代理字符串(user agent string,简称 “UA 字符串”)是浏览器启动连接时发送到网站的一段文本。它包含了有关浏览器类型、渲染引擎和操作系统等在内的详细信息。例如,Windows 10 上用于 Firefox 的 UA 字符串如下所示: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:71.0) Gecko/20100101 Firefox/72.0 UA 字符串在 90 年代作为 Netscape 浏览器的一部分被开发出来,并且一直沿用至今。根据谷歌的评估,多达 90% 的网站以各种方式阅读和使用浏览器的用户代理。它的最初目的是让服务器确保用户接收到的是针对特定浏览器需求进行过优化的页面。可现如今,用户代理嗅探已成为不少隐私问题的根源,大量广告商已将该字符串用作跟踪和识别网站访问者的方式。 不仅是隐私问题,UA 字符串还带来了其他困扰。前不久,基于 Chromium 的浏览器 Vivaldi 伪造其用户代理字符串以显示成Chro...
- 下一篇
JetBrains 推出编程字体 Mono:开源免费可商用、提供更好的阅读体验
JetBrains推出了一款名为 "Mono" 的字体。按照官方的说法,Mono 是专为开发者打造的编程字体,希望借此提升他们在查阅代码时的体验。 JetBrains 还解释了他们打造 Mono 的缘由。因为开发者大部分时间都在查阅代码,并且他们也会花时间寻找一款适合自己的“最佳”字体来获得最好的阅读体验。但 JetBrains 认为这些“网红”编程字体大多数没有充分考虑到通读代码和普通阅读之间的区别,从而导致开发者很容易眼干眼涩眼疲劳……为此他们决定打造一种能让每个人都可以更轻松使用代码的字体。 查阅代码时,开发者的目光在屏幕上随处地快速扫过(眼睛需要随时沿垂直和水平方向移动),所以眼睛十分容易疲劳,而普通阅读时,眼睛通常是沿着同一方向移动,相对来说就更轻松。因此,在设计 Mono 字体之初,团队充分考虑了长时间查阅代码可能导致的眼睛疲劳问题,以及受影响的因素,比如字母的大小和形状、空间量、自然等宽平衡、不必要的细节、连字、以及难以区分的符号或字母(l 和 I)和连字等。 首先来看一下 Mono 字体长什么样,它在不同编程语言中的显示效果如下: Kotlin Java Go Pyth...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS7设置SWAP分区,小内存服务器的救世主
- Docker快速安装Oracle11G,搭建oracle11g学习环境