編集部からのお知らせ
HCIの記事をまとめた資料ダウンロード
記事集:クラウドのネットワーク監視

Kubernetesのバグ報奨金制度がスタート

Steven J. Vaughan-Nichols (Special to ZDNet.com) 翻訳校正: 石橋啓一郎

2020-01-16 16:53

 最近ではコンテナオーケストレーションソフトウェアである「Kubernetes」の人気が高まっており、今やあらゆるところで使われるようになった。しかし、四半期ごとにメジャーアップデートが行われ、誰もがそれを一斉に導入するため、セキュリティが大きな懸念事項になっている。この状況を受けて、Kubernetes製品セキュリティ委員会は、Cloud Native Computing Foundation(CNCF)の資金提供を受け、Kubernetesのセキュリティホールを発見したセキュリティ研究者に報いるバグ報奨金制度をスタートさせている

 この報奨金制度は、数カ月前からクローズドベータテストとして運用されていたが、提案から2年近く経って、ようやくすべてのセキュリティ研究者が制度を利用できるようになった。

 Google Cloudのコンテナセキュリティ担当製品マネージャーMaya Kaczorowski氏は次のように述べている。

 Kubernetesにはすでにしっかりしたセキュリティチームと対応プロセスがあり、最近実施されたセキュリティ監査によって、安全性はさらに強固なものになっている。かつてないほど強力で安全なオープンソースプロジェクトだ。今回のバグ報奨金プログラムの立ち上げは、資金を投じて口だけではなく行動で示そうとする取り組みであり、何よりもすでにこの重要な仕事を行っている研究者らに報いるためのものだ。これによって、さらに多くのセキュリティ研究者にKubernetesのコードに目を向けてもらい、セキュリティ脆弱性をなくすとともに、Kubernetesのセキュリティに対する貢献を金銭面で支援したいと考えている。

 このバグ報奨金制度を運営するのは、エシカルハッカーのコミュニティーによってセキュリティインシデントのリスクを軽減するというバグ報奨金ソリューションのHackerOneだ。同社のチームは、全員がCertified Kubernetes Administrators(CKA)を取得している。ただし、これは簡単な仕事ではない。Kubernetesには100以上の認定ディストリビューションが存在しており、今回の報奨金制度ではそのすべてのコードが対象になっているためだ。

 具体的には、GitHubに置かれている主なKubernetesのコードが対象となっている。また、継続的インテグレーションやリリース、ドキュメントなども対象となる。この制度で見つけようとしているのは、特にクラスターへの攻撃につながる可能性のあるセキュリティホールで、これには権限の昇格、認証に関するバグ、kubeletやAPIサーバーでの遠隔からのコード実行が含まれる。

 ワークロードに関する情報の漏えいや、意図しないパーミッションの変更なども対象となっているほか、ビルドやリリースプロセスを含むKubernetesのサプライチェーンについても注意を払うよう推奨されている。

 一方、KubernetesメーリングリストやSlackチャネルなどのコミュニティ管理ツールは対象になっていない。また、コンテナからのエスケープやLinuxカーネルに対する攻撃、「etcd」などのKubernetesが依存するものも制度の対象外で、それぞれのセキュリティチームに報告すべきだとしている。ただし説明では、バグ報奨金制度の対象外であっても、Kubernetesの脆弱性に関する情報があれば知らせてほしいと述べている。そのような脆弱性に関する情報は、Kubernetes製品セキュリティ委員会に非公開で通知する必要がある。

 Kubernetesのコアプログラムにセキュリティホールが発見された場合の報奨金の金額は、優先度の低い問題の200ドル(約2万1000円)から、重大な問題の1万ドル(約110万円)までの幅がある。バグ報奨金制度の詳細については、HackerOneの公式ページを参照してほしい。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]