Últimas notícias

Fique informado

Comitê de Segurança do Produto Kubernetes, está com um programa de melhoria da segurança

30/01/2020

Spotlight

Presidente do ITI fala sobre a CertLive que abordou as MPs 951 e 983

Conversamos com Carlos Roberto Fortner sobre a primeira CertLive recebeu parlamentares e integrantes do governo brasileiro em torno das MPs 951 e 983 de 2020.

31/07/2020

Associações da Sociedade Civil manifestam seu apoio à aprovação da MP 951/2020

A MP autoriza a emissão dos certificados digitais, no padrão da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, por meio de videoconferência.

31/07/2020

O pequeno herói e sua conexão com a tecnologia para acesso ilimitado e seguro

Neste ebook apresentamos a história do pequeno herói neerlandês e sua conexão com a tecnologia do SafeSign e todo o ecossistema de soluções da AET – Unlimited access to your world.

22/07/2020

Segurança dos sistemas de Inteligência Artificial prevista como tendência de TI para 2020

A ManageEngine reuniu uma lista de seis tendências significativas para o setor de TI em 2020, incluindo Inteligência Artificial.

23/01/2020

Cibersegurança sob um olhar do cliente e do negócio

25% das startups admitiram usar produtos para ambientes domésticos para proteger seus negócios contra ciberameaças

15/11/2019

O Kubernetes é um programa de orquestração de contêineres, porém, a segurança vem sendo um item desafiador para esta tecnologia

Por Adriano Frare

Adriano Valério L. Frare – Pki consultant / BlockChain / Security / Pen Test

Todo mundo está utilizando. No entanto, com as principais atualizações trimestrais e todo mundo correndo para implantá-lo, a segurança é uma preocupação real. Portanto, o Comitê de Segurança do Produto Kubernetes , financiado pela CNCF (Cloud Native Computing Foundation) está lançando um novo programa de recompensa de bugs para recompensar os caçadores de bugs de segurança do Kubernetes.

O programa de recompensas de bugs está em uma versão beta privada há vários meses. Quase dois anos desde a proposta inicial, o programa está pronto para todos os pesquisadores de segurança.

Maya Kaczorowski, gerente de produtos de segurança de contêiner do Google Cloud, disse:

O Kubernetes já possui uma equipe de segurança robusta e um processo de resposta, consolidado ainda mais pela recente auditoria de segurança do Kubernetes . Temos um projeto de código aberto mais forte e mais seguro do que nunca.”

Ao lançar um programa de recompensas por bugs, estamos colocando nosso dinheiro onde nossa boca está – e o mais importante, recompensando os pesquisadores que já estão fazendo esse importante trabalho.

Esperamos atrair pesquisadores de segurança adicionais para ter mais olhos no código, eliminar bugs de segurança e fazer backup de nosso trabalho na segurança do Kubernetes com suporte financeiro.

Maya Kaczorowski - Gerente de produtos de segurança de contêiner do Google Cloud

Maya Kaczorowski – Gerente de produtos de segurança de contêiner do Google Cloud

Esse programa de recompensa de bugs será operado pela HackerOne , uma empresa de segurança auto-proclamada por hackers. Para executar o programa com sucesso, a equipe do HackerOne é todos administradores de Kubernetes certificados (CKA) . Este não é um trabalho fácil. Existem mais de 100 distribuições certificadas, e a recompensa de bug cobre todo o código do Kubernetes.

Kubernetes e a segurança

Especificamente, a recompensa do bug cobre o código principal do Kubernetes mantido no GitHub. Ele também observa artefatos contínuos de integração, liberação e documentação. Em particular, eles estão procurando falhas de segurança que possam levar a ataques de cluster. Isso inclui escalações de privilégios, erros de autenticação e execução remota de código no kubelet ou no servidor da API.

Eles também estão procurando vazamentos de informações sobre a atividade ou alterações inesperadas nas permissões. Os pesquisadores de segurança também são incentivados a examinar a cadeia de suprimentos da Kubernetes, incluindo os processos de criação e lançamento.

O que ele não cobre são as ferramentas de gerenciamento da comunidade, como as listas de discussão do Kubernetes ou o canal Slack. Escapes de contêiner, ataques ao kernel do Linux ou outras dependências, como etcd, também estão fora do escopo e devem ser relatados às suas equipes de segurança.

Dito isso, eles ainda querem ouvir sobre qualquer vulnerabilidade, mesmo que não estejam no escopo da recompensa do bug. Eles devem ser divulgados em particular ao Comitê de Segurança do Produto Kubernetes.

Os prêmios pelas brechas de segurança encontradas nos programas principais do Kubernetes variam de US $ 200 para problemas de baixa prioridade a US$ 10.000 para problemas críticos descobertos. Para obter detalhes completos sobre o funcionamento do programa de recompensas, consulte a página de recompensas do HackerOne, Kubernetes.

Adriano Valério L. Frare – Pki consultant / BlockChain / Security / Pen Test

Os desafios de segurança no IoT. Por Adriano Frare

10 ferramentas online para testar SSL, TLS e vulnerabilidades

6 importantes tópicos para o mercado de Segurança Digital

Google anuncia nova chave para autenticação de dois fatores – Titan USB-C

Os desafios da cibersegurança aplicada a banco de dados