Cloud Native Computing Foundation(CNCF)が米国時間1月14日、Kubernetesの初めてのバグ褒賞金事業(bug bounty)を発表した。Kubernetesは、最初Googleが作ったコンテナオーケストレーションシステムで、現在、至るところで使われている。このバグ褒賞金制度はCNCFとGoogleとHackerOneが共同で運営し、賞金額は100ドル(約1万1000円)から最高1万ドル(約110万円)までとなっている。
KubernetesにはすでにProduct Security Committee(セキュリティ委員会)があり、Google自身のKubernetesセキュリティチームが委員になっている。もちろん実際にコードをチェックするのは、外部も含めもっと多くの人びとだ。褒賞金制度ではもっと多くの新たなセキュリティの研究者の参加が期待されており、コードを調べ、バグ調査など行っている人を報いるものになっている。
Googleでコンテナのセキュリティを担当しているプロダクトマネージャーMaya Kaczorowski(マヤ・カツォロフスキ)氏は「Kubernetesにはすでに強力なセキュリティチームとセキュリティへの対応能力があり、最近のKubernetesセキュリティ監査によってそれはさらに強化されている。現在のKubernetesは、過去に例がないほど強力で安全なオープンソースプロジェクトだ。バグ褒賞金制度が立ち上がったことで、セキュリティに対する実践力が上がり、また、すでにバグの検出という重要な仕事をしている研究者たちに報いることができる。今後はもっと多くのセキュリティ研究者が参加して、コードを見る目が増えることを期待したい。Kubernetesのセキュリティ問題の洗い出しとバグ発見活動のバックアップに、財政的支援が加わったことになる」と言う。
褒賞金の対象は、GitHubのリポジトリにあるKubernetesの主要部位すべてだ。チームが特に重視しているのは、認証関連のバグと、故意や不故意による特権(プリビレッジ)のアップ、そしてkubeletやAPIサーバーのリモートコード実行バグだ。CNCFが特に強調するのは、研究者たちがKubernetesのサプライチェーンの全体をよく見ること。この事業と制度の詳細は、ここで確認できる。
関連記事: How Kubernetes came to rule the world…Kubernetesはどうやって世界を支配したのか(未訳、有料記事)