Kubernetes lance une chasse aux bugs, financée par la CNCF, pour récompenser les chercheurs qui trouveront des failles de sécurité dans les outils Kubernetes.

Ce Bug Bounty recouvre le code des principales dépôts Kubernetes sur GitHub, ainsi que les artefacts d'intégration, de publication et de documentation en continu. Fondamentalement, tout ce vous considéreriez comme du Kubernetes «de base», (github.com/kubernetes), concerne cette chasse au bugs. Kubernetes est particulièrement particulièrement intéressé par les attaques de cluster, telles que les escalades de privilèges, les bogues d'authentification et l'exécution de code à distance dans le kubelet ou le serveur API. Toute fuite d'informations sur une charge de travail ou toute modification inattendue des autorisations est également intéressante. En vous éloignant de la vision du monde de l'administrateur de cluster, vous êtes également encouragé à regarder la chaîne d'approvisionnement de Kubernetes, y compris les processus de génération et de publication, qui permettraient tout accès non autorisé aux validations, ou la possibilité de publier des artefacts non autorisés, précisent encore les organisateurs.

Les primes s'échelonnent de 100$ à 10 000$ selon la gravité des failles de sécurité identifiées.

Plus d'informations sur le site de Kubernetes.

Cette chasse aux bugs est hébergée sur HackerOne.