Últimas notícias

Fique informado

Comitê de Segurança do Produto Kubernetes, está com um programa de melhoria da segurança

30 de janeiro de 2020

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Segurança dos sistemas de Inteligência Artificial prevista como tendência de TI para 2020

A ManageEngine reuniu uma lista de seis tendências significativas para o setor de TI em 2020, incluindo Inteligência Artificial.

23 de janeiro de 2020

Cibersegurança sob um olhar do cliente e do negócio

25% das startups admitiram usar produtos para ambientes domésticos para proteger seus negócios contra ciberameaças

15 de novembro de 2019

O Kubernetes é um programa de orquestração de contêineres, porém, a segurança vem sendo um item desafiador para esta tecnologia

Por Adriano Frare

Adriano Valério L. Frare – Pki consultant / BlockChain / Security / Pen Test

Todo mundo está utilizando. No entanto, com as principais atualizações trimestrais e todo mundo correndo para implantá-lo, a segurança é uma preocupação real. Portanto, o Comitê de Segurança do Produto Kubernetes , financiado pela CNCF (Cloud Native Computing Foundation) está lançando um novo programa de recompensa de bugs para recompensar os caçadores de bugs de segurança do Kubernetes.

O programa de recompensas de bugs está em uma versão beta privada há vários meses. Quase dois anos desde a proposta inicial, o programa está pronto para todos os pesquisadores de segurança.

Maya Kaczorowski, gerente de produtos de segurança de contêiner do Google Cloud, disse:

O Kubernetes já possui uma equipe de segurança robusta e um processo de resposta, consolidado ainda mais pela recente auditoria de segurança do Kubernetes . Temos um projeto de código aberto mais forte e mais seguro do que nunca.”

Ao lançar um programa de recompensas por bugs, estamos colocando nosso dinheiro onde nossa boca está – e o mais importante, recompensando os pesquisadores que já estão fazendo esse importante trabalho.

Esperamos atrair pesquisadores de segurança adicionais para ter mais olhos no código, eliminar bugs de segurança e fazer backup de nosso trabalho na segurança do Kubernetes com suporte financeiro.

Maya Kaczorowski - Gerente de produtos de segurança de contêiner do Google Cloud

Maya Kaczorowski – Gerente de produtos de segurança de contêiner do Google Cloud

Esse programa de recompensa de bugs será operado pela HackerOne , uma empresa de segurança auto-proclamada por hackers. Para executar o programa com sucesso, a equipe do HackerOne é todos administradores de Kubernetes certificados (CKA) . Este não é um trabalho fácil. Existem mais de 100 distribuições certificadas, e a recompensa de bug cobre todo o código do Kubernetes.

Kubernetes e a segurança

Especificamente, a recompensa do bug cobre o código principal do Kubernetes mantido no GitHub. Ele também observa artefatos contínuos de integração, liberação e documentação. Em particular, eles estão procurando falhas de segurança que possam levar a ataques de cluster. Isso inclui escalações de privilégios, erros de autenticação e execução remota de código no kubelet ou no servidor da API.

Eles também estão procurando vazamentos de informações sobre a atividade ou alterações inesperadas nas permissões. Os pesquisadores de segurança também são incentivados a examinar a cadeia de suprimentos da Kubernetes, incluindo os processos de criação e lançamento.

O que ele não cobre são as ferramentas de gerenciamento da comunidade, como as listas de discussão do Kubernetes ou o canal Slack. Escapes de contêiner, ataques ao kernel do Linux ou outras dependências, como etcd, também estão fora do escopo e devem ser relatados às suas equipes de segurança.

Dito isso, eles ainda querem ouvir sobre qualquer vulnerabilidade, mesmo que não estejam no escopo da recompensa do bug. Eles devem ser divulgados em particular ao Comitê de Segurança do Produto Kubernetes.

Os prêmios pelas brechas de segurança encontradas nos programas principais do Kubernetes variam de US $ 200 para problemas de baixa prioridade a US$ 10.000 para problemas críticos descobertos. Para obter detalhes completos sobre o funcionamento do programa de recompensas, consulte a página de recompensas do HackerOne, Kubernetes.

Adriano Valério L. Frare – Pki consultant / BlockChain / Security / Pen Test

Os desafios de segurança no IoT. Por Adriano Frare

10 ferramentas online para testar SSL, TLS e vulnerabilidades

6 importantes tópicos para o mercado de Segurança Digital

Google anuncia nova chave para autenticação de dois fatores – Titan USB-C

Os desafios da cibersegurança aplicada a banco de dados