اضافه شدن dependencyهای متن‌باز GKE به برنامه‌ی پاداش برای کشف آسیب‌پذیری گوگل

گوگل هفته‌ی گذشته اعلام کرد که برنامه‌ی پاداش برای کشف آسیب‌پذیری (VRP) خود را توسعه داده است تا وابستگی dependencyهای متن‌باز Google Kubernetes Engine (GKE) را نیز در برگیرد. اطلاعیه‌ی منتشرشده درباره‌ی برنامه‌ی پاداش در ازای اشکال برای Kubernetes که بنیاد رایانش ابری بومی (CNCF) با همکاری گوگل و سایر شرکت‌ها در اوایل سال جاری آن را راه‌اندازی کرد، بیان می‌کند که برای آسیب‌پذیری‌های موجود در این پروژه تا ۱۰ هزار دلار پاداش داده می‌شود.

VRP گوگل با این توسعه، اشکال‌های افزایش امتیاز موجود در یک کلاستر آزمایشگاه GKE را که به‌طور خاص برای این منظور راه‌اندازی شده است، پوشش خواهد داد. این شرکت بیان می‌کند که VRP آسیب‌پذیری‌های قابل بهره‌برداری موجود در همه‌ی dependencyها ازجمله اشکال‌های افزایش امتیاز در کرنل لینوکس و سخت‌افزار پایه یا سایر مؤلفه‌های زیرساخت آن‌ها را که امکان افزایش امتیاز در یک کلاستر GKE را فراهم می‌کند، پوشش خواهد داد.

درحال‌حاضر گوگل از شکارچیان اشکال‌ها دعوت می‌کند تا آسیب‌پذیری‌های موجود در یک محیط آزمایشگاهی را که بر مبنای GKE در kCTF ساخته شده است، کشف کنند. kCTF یک پروژه‌ی متن‌باز Capture-the-Flag بر مبنای Kubernetes است.

شرکت‌کنندگان در این برنامه ملزم هستند که از یک محیط کانتینرشده که در Kubernetes pod اجرا می‌شود، خارج شوند و یکی از دو پرچم محرمانه را که یکی در همان pod و دیگری در pod دیگر در یک فضای نام متفاوت قرار دارد، بخوانند.

شرکت‌کنندگان موظف هستند که این پرچم‌ها را به‌عنوان اثبات بهره‌برداری موفقیت‌آمیز خود ارائه دهند، زیرا محیط آزمایشگاهی داده را ذخیره نمی‌کند. به‌گفته‌ی گوگل این پرچم‌ها اغلب تغییر می‌کنند.

شرکت گوگل قصد دارد برای اشکال‌هایی که محیط آزمایشگاه GKE  را تحت تأثیر قرار می‌دهند و ممکن است منجر به سرقت هر دو پرچم شوند، تا ۱۰ هزار دلار پاداش دهد. شرکت‌کنندگان مجاز هستند که آسیب‌پذیری‌های شناسایی‌شده در لینوکس، Kubernetes، kCTF، گوگل یا سایر dependencyها را ارسال کنند.

آسیب‌پذیری‌های امنیتی که تنها کد گوگل را تحت تأثیر قرار می‌دهند، واجد شرایط دریافت یک پاداش اضافی VRP می‌شوند، درحالی‌که آسیب‌پذیری‌هایی که تنها کد Kubernetes را تحت تأثیر قرار می‌دهند، واجد شرایط دریافت یک پاداش اضافی CNCF Kubernetes می‌شوند.

گوگل تشریح کرد که هر آسیب‌پذیری که در خارج از GKE کشف شود، باید به گروه امنیتی پروژه‌ی بالادست مربوطه گزارش داده شود. به‌منظور افزایش کارایی توسعه‌ی این برنامه، گوگل تنها به آسیب‌پذیری‌هایی که به نظر می‌رسد با سرقت یک پرچم قابل بهره‌برداری هستند، پاداش خواهد داد.

محیط متن‌باز kCTF یک محیط جدید است و گوگل به دنبال این است که قبل از استفاده‌ی فعال از آن در رقابت‌های CTF بازخوردهای مربوط به آن را دریافت کند. همچنین با گنجاندن زیرساخت CTF در VRP قصد دارد جامعه را تشویق کند تا در تأمین امنیت رقابت‌های CTF و GKE و زیست‌بوم‌های گسترده‌تر Kubernetes به آن‌ها کمک کنند.

منبع

پست‌های مشابه

Leave a Comment