Face à la popularité de plus en plus croissante de Kubernetes, la Cloud Native Computing Foundation (CNCF) a annoncé le lancement d’un bug bounty sur le projet de gestion des clusters de conteneurs. De plus en plus utilisé par les entreprises, Kubernetes se transforme pour devenir un gestionnaire de l’infrastructure et des applications. Raison de plus pour s’assurer d’une sécurité totale de l’outil open source et ne pas reproduire les errances sécuritaires d’OpenSSL avec Heartbleed.

Le programme dévoilé par la CNCF est mené en partenariat avec la plateforme HackerOne, spécialiste des bug bounties. Par ailleurs, le périmètre du programme a été élaboré en étroite collaboration avec Google à l’origine de Kubernetes. La firme de Mountain View rappelle que la sécurité de Kubernetes était déjà assurée par une équipe dédiée et un audit de sécurité mené récemment. Elle avait un programme de recherche de vulnérabilités en mode beta et sur invitation.

Un périmètre assez large

Au sein du bug bounty, les chercheurs pourront travailler sur l’ensemble du code des différentes distributions Kubernetes certifiées (plus d’une centaine) sur GitHub. L’équipe de sécurité de Kubernetes est particulièrement intéressée par les attaques contre les clusters, notamment l’élévation des privilèges d’accès, des bugs d’authentification et l’exécution du code à distance dans kubelet et l’API serveur. De même, elle regarde avec attention « toutes fuites de données issues des workloads et des modifications de permission » et incite les hackeurs éthiques à se pencher « sur la supply chain y compris les processus de build et de publication, permettant d’avoir un accès frauduleux aux commits ou de publier des artefacts non autorisés ».

Sur la partie récompense, le programme donne un grille allant de 100 à 10 000 dollars. La prime la plus élevée concerne des failles critiques touchant le cœur de Kubernetes. En lançant cette initiative, la CNCF espère à la fois renforcer la sécurité du projet open source, mais aussi éviter que des vulnérabilités majeures ne lui échappent, ou pire soient vendues à des pirates ou à des Etats.