Non molto tempo fa abbiamo tenuto sul blog un confronto tra i compensi che GitLab e GitHub danno agli utenti che scovano bug nei loro prodotti. Bene, oggi, se siete utilizzatori di Kubernetes e vi piace scoprire e segnalare i bug vi farà piacere sapere come anche il sistema di orchestrazione di container più famoso del mondo ha istituito un programma di bug bounty.

La ricompensa per quanti saranno in grado di scovare e provare anomalie in generale sul sistema Kubernetes andrà dai duecento dollari (per bug low severity) fino a diecimila dollari (per bug critical), mentre scenderà dai cento ai cinquemila dollari per problemi sulla dashboard o il comando kube-adm. Infine riportare difetti nelle caratteristiche alfa dei componenti del core o dell’infrastruttura che non comportano modifiche all’artifact può portare fino a $2.500.

È quindi chiaro come l’ambito verso cui c’è maggiore interesse sia la parte core, in particolare problemi di privilege escalation, bug di autenticazione e remote code execution. Seguono alterazioni del codice senza l’approvazione dell’utente proprietario, attacchi DoS (Denial Of Service) sugli artifact delle release, problemi sulle funzionalità di tipo beta e add-on del core.

Per partecipare al programma è necessario essere parte di una di queste organizzazioni:

• Cloud Native Computing Foundation
• Kubernetes product security committee
• HackerOne program team.

Essenziale perché la segnalazione venga accettata (e poi ricompensata) è che questa sia riproducibile e non sia stata scoperta utilizzando del social engineering.

Buona caccia!

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.