گوگل هفتهی گذشته اعلام کرد که برنامهی پاداش برای کشف آسیبپذیری (VRP) خود را توسعه داده است تا وابستگی dependencyهای متنباز Google Kubernetes Engine (GKE) را نیز در برگیرد. اطلاعیهی منتشرشده دربارهی برنامهی پاداش در ازای اشکال برای Kubernetes که بنیاد رایانش ابری بومی (CNCF) با همکاری گوگل و سایر شرکتها در اوایل سال جاری آن را راهاندازی کرد، بیان میکند که برای آسیبپذیریهای موجود در این پروژه تا ۱۰ هزار دلار پاداش داده میشود.
VRP گوگل با این توسعه، اشکالهای افزایش امتیاز موجود در یک کلاستر آزمایشگاه GKE را که بهطور خاص برای این منظور راهاندازی شده است، پوشش خواهد داد. این شرکت بیان میکند که VRP آسیبپذیریهای قابل بهرهبرداری موجود در همهی dependencyها ازجمله اشکالهای افزایش امتیاز در کرنل لینوکس و سختافزار پایه یا سایر مؤلفههای زیرساخت آنها را که امکان افزایش امتیاز در یک کلاستر GKE را فراهم میکند، پوشش خواهد داد.
درحالحاضر گوگل از شکارچیان اشکالها دعوت میکند تا آسیبپذیریهای موجود در یک محیط آزمایشگاهی را که بر مبنای GKE در kCTF ساخته شده است، کشف کنند. kCTF یک پروژهی متنباز Capture-the-Flag بر مبنای Kubernetes است.
شرکتکنندگان در این برنامه ملزم هستند که از یک محیط کانتینرشده که در Kubernetes pod اجرا میشود، خارج شوند و یکی از دو پرچم محرمانه را که یکی در همان pod و دیگری در pod دیگر در یک فضای نام متفاوت قرار دارد، بخوانند.
شرکتکنندگان موظف هستند که این پرچمها را بهعنوان اثبات بهرهبرداری موفقیتآمیز خود ارائه دهند، زیرا محیط آزمایشگاهی داده را ذخیره نمیکند. بهگفتهی گوگل این پرچمها اغلب تغییر میکنند.
شرکت گوگل قصد دارد برای اشکالهایی که محیط آزمایشگاه GKE را تحت تأثیر قرار میدهند و ممکن است منجر به سرقت هر دو پرچم شوند، تا ۱۰ هزار دلار پاداش دهد. شرکتکنندگان مجاز هستند که آسیبپذیریهای شناساییشده در لینوکس، Kubernetes، kCTF، گوگل یا سایر dependencyها را ارسال کنند.
آسیبپذیریهای امنیتی که تنها کد گوگل را تحت تأثیر قرار میدهند، واجد شرایط دریافت یک پاداش اضافی VRP میشوند، درحالیکه آسیبپذیریهایی که تنها کد Kubernetes را تحت تأثیر قرار میدهند، واجد شرایط دریافت یک پاداش اضافی CNCF Kubernetes میشوند.
گوگل تشریح کرد که هر آسیبپذیری که در خارج از GKE کشف شود، باید به گروه امنیتی پروژهی بالادست مربوطه گزارش داده شود. بهمنظور افزایش کارایی توسعهی این برنامه، گوگل تنها به آسیبپذیریهایی که به نظر میرسد با سرقت یک پرچم قابل بهرهبرداری هستند، پاداش خواهد داد.
محیط متنباز kCTF یک محیط جدید است و گوگل به دنبال این است که قبل از استفادهی فعال از آن در رقابتهای CTF بازخوردهای مربوط به آن را دریافت کند. همچنین با گنجاندن زیرساخت CTF در VRP قصد دارد جامعه را تشویق کند تا در تأمین امنیت رقابتهای CTF و GKE و زیستبومهای گستردهتر Kubernetes به آنها کمک کنند.