:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/a3/43/a343739fd232aa73443c78804a210dcd/0109190903.jpeg "Der VDF-Algorithmus lässt sich nicht beschleunigen, aber von extern nachvollziehen, so dass er als verifizierbar und sicher gilt. (Bild: <a href=https://unsplash.com/@introspectivedsgn>Erik Mclean</a>)")
:quality(80)/p7i.vogel.de/wcms/4b/ea/4bea38abfb9f268caf11ee9bfe545b61/0109124972.jpeg "Einige wagen schon den Abgesang auf Blockchains, der Autor sieht ein großartiges Jahr für Distributed-Ledger-Technologien. (Bild: <a href=https://unsplash.com/@boliviainteligente>BoliviaInteligente</a>)")
:quality(80)/p7i.vogel.de/wcms/a1/4c/a14ce5080ab4304dcf98f86cdfc13f3b/0109126343.jpeg "Mit dem schnellen Wachstum von IoT-Anwendungen könnte die Blockchain zu einem festen Bestandteil vieler Industriezweige werden. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/5d/9b/5d9bf27988a492141af6ef2f5c19303c/0109142952.jpeg "Entwurf der Web-Applikation (HTML und CSS). (Bild: Bochkor & Dr. Krypczyk / Bootstrap)")
:quality(80)/p7i.vogel.de/wcms/e2/f1/e2f14ce4b8b0cf9b900e98b37db4570b/0108943150.jpeg "Nach der erfolgreichen Bereitstellung wird die laufende VM zunächst im Abschnitt „My virtual machines“ angezeigt – und sofern die VM bei der Bereitstellung „Claimable“ gemacht wurde, außerdem unter „Claimable virtual maschines“. (Bild: Drilling / Microsoft)")
Isolierte Testumgebungen in Azure, Teil 1 :quality(80)/p7i.vogel.de/wcms/10/13/10138ea9cf7cd79c6371098d7d6f8f99/0109442867.jpeg "Bei dem CloudFest 2022 Hackathon kamen fast 90 Hacker aus der ganzen Welt zusammen, um Open-Source-Projekte auf die nächste Stufe zu bringen, so der Veranstalter. (Bild: CloudFest)")
:quality(80)/p7i.vogel.de/wcms/95/8f/958f5a423f2021d4156e049e02133dc5/0109481174.jpeg "In einer Zeit, in der die Cybersicherheit zum entscheidenden Thema geworden ist, sind APIs oft das schwächste Glied in IT-Systemen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/37/d5/37d507046eeafe2b6442d2c2447b02f1/0109480971.jpeg "Termin- und Zeitdruck, ständig wechselnde Prioritäten und die wachsende Zahl an Aufgaben gehören zu den größten Stressfaktoren. (Bild: vectorfusionart - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/c6/93c6fb41b02dec8e9a36e86ef56f3cbf/0108947678.jpeg "High-Level Container Runtimes bieten Schnittstellen und Management-Möglichkeiten für die Verarbeitung erstellter Container. (Bild: <a href=https://unsplash.com/@ant0ine>Antoine Petitteville</a>)")
:quality(80)/p7i.vogel.de/wcms/15/d9/15d99bfe942fcebb1776ed43b8e294f8/0109290824.jpeg "Alibaba Cloud holt im Rahmen des SMART-Scholarship-Programms Studierende an die eigenen Standorte. (© Alibaba Cloud)")
:quality(80)/p7i.vogel.de/wcms/e3/bc/e3bc7f53728cfdb4bc41914def215e8a/0109136174.jpeg "Viele Automobilhersteller begegnen dem Innovationsdruck mit einem Engagement in der Open-Source-Community. (Bild: <a href=https://pixabay.com/users/raeng_publications-11384528>RAEng_Publications</a>)")
:quality(80)/p7i.vogel.de/wcms/f8/2c/f82c1b959eda36a020d0bd1cbbf7bf51/0109027157.jpeg "Die Gegenüberstellung von Daten aus Anwenderbefragungen zeigt, inwieweit die Sicht der IT ein realistisches Bild zum tatsächlichen IT-Erlebnis am Arbeitsplatz darstellt. (Bild: frei lizenziert Nasim Nadjafi - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/67/e3/67e30db245510eb841519a146ea6ec7b/0108970142.jpeg "Ein UX-Screening hilft dabei, Schwächen hinsichtlich der Nutzererfahrung auf der eigenen Webpräsenz ausfindig zu machen. (Bild: <a href=https://unsplash.com/@headwayio>Headway</a>)")
:quality(80)/p7i.vogel.de/wcms/ed/82/ed82025610ef683110ca466cb11ca3d6/0108839528.jpeg "Bei der Entwicklung für Apps auf Apple-Geräten bieten sich Xcode für die Entwicklung und LLDB für das Debuggen an (Bild: Joos / Apple)")
:quality(80)/p7i.vogel.de/wcms/82/7c/827c75bae802ff3fd773623a38b57b4f/0109424276.jpeg "Low-Code-Plattformen ermöglichen eine vergleichsweise einfache App-Entwicklung in einer grafischen Umgebung. (Bild: © – photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/04/11/04118c16cdf9e4fd78543309dedc15b8/0109195932.jpeg "KI kann Mitarbeiter von Routineaufgaben entlasten und Raum schaffen für kreative Tätigkeiten. (Bild: Lufthansa Industry Solutions)")
:quality(80)/p7i.vogel.de/wcms/61/e6/61e6550e53a532a02b02872c1f06482f/0109325196.jpeg "Beim Trunk-based Development liegt der Fokus auf einem Hauptzweig, der permanent in einem produktionsreifen Zustand gehalten werden soll. (Bild: <a href=https://www.pexels.com/@ekrulila/>Ekrulila</a>)")
:quality(80)/p7i.vogel.de/wcms/25/09/2509009139665998926085c039614fa4/0108600559.jpeg "Regular Expressions eignen sich sehr gut dafür, lange Zeichenketten oder Datenreihen nach bestimmten Mustern zu durchsuchen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/4b/fc/4bfcf61f04930b8a9a2f8b0a24217d50/0108571052.jpeg "Mit dem Push-Befehl werden in Git-basierten Versionsverwaltungen Inhalte aus einem lokalen Repository an ein Remote-Repository gesendet. (Bild: <a href=https://www.pexels.com/@realtoughcandy/>RealToughCandy.com</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:quality(80)/images.vogel.de/vogelonline/bdb/1936900/1936970/original.jpg "Ablauf der Kubeflow-Installation in einer konformen Kubernetes-Umgebung. (charmed-kubeflow.io)")
CNCF zahlt für K8s-Schwachstellen Bug-Bounty-Programm für Kubernetes
Die Cloud Native Comupting Foundation, kurz CNCF, hat bei Hackerone.com ein Bug-Bounty-Programm für Kubernetes angestoßen. Sicherheitsforscher und Anwender können somit Schwachstellen direkt an die Kubernetes Open Source Community melden und werden dafür entlohnt.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/104600/104681/65.png "Logo-ColorVersion-CMYK.png ()")
Meldet ein Sicherheitsforscher oder Anwender über Hackerone.com eine Kubernetes-Schwachstelle an die CNCF, so verpflichtet er sich dazu, die Sicherheitslücke nicht auf eigene Faust offenzulegen. Die Disclosure Policy sieht vor, dass das Kubernetes Product Security Committee und der Bug-Melder ein Veröffentlichungsdatum aushandeln.
Die CNCF ziehe es vor, den Fehler so schnell wie möglich vollständig zu veröffentlichen, sobald die Lösung für den Benutzer verfügbar ist, heißt es auf Hackerone.com. Der Zeitrahmen für die Bekanntgabe hängt sehr vom Kontext des Fehlers ab und variiert von „sofort“ für öffentlich bekannte Probleme bis zu „Monaten“ für Fehler, die tiefgreifende Code-Änderungen erfordern.
Die Belohnungen richten sich nach dem Schweregrad der CVSS (Common Vulnerability Scoring Standard), wobei es sich hierbei erst einmal um eine grobe Maßgabe handelt. So bilden kubectl-Schwachstellen, die eine Benutzerinteraktion erfordern, beispielsweise eine Ausnahme. Sie werden nach der jeweils niedrigeren Einstufung vergütet, sprich eine „kritische“ Schwachstelle wird nur mit dem „high“-Entgelt honoriert.
Die Entscheidung über das „Kopfgeld“ liegt letztlich immer im Ermessen der Cloud Native Computing Foundation und gliedert sich in mehrere Stufen mit untergeordneten Schweregraden.
- Tier 1 (Stufe 1) betrifft Kernfunktionen von Kubernetes, sowohl generell verfügbare (general available, GA) Features als auch solche, die sich in der Betaphase befinden. Die Belohnungsspanne reicht von 10.000 US-Dollar (USD) für kritische Sicherheitslücken nach CVSS bis hin zu 200 US-Dollar für jene mit Severity „Low“.
- Unter Tier 2 mit einer Spanne von 5.000 bis 100 USD fallen allgemeine K8s-Komponenten mt GA- und Beta-Status, beispielsweise Container Storace Interface (CSI) Driver oder das Dashboard.
- Unterstützende Ressourcen wie die Webseite k8s.io, das Kubernetes-eigene CI/CD-System Prow oder die Dokumentation fallen in die Kategorie Tier 3, die Kopfgelder beginnen hier bei 2.500 USD und enden bei 100 USD.
Weitere Informationen finden sich auf der Website Hackerone.com. Bei Github wird der Security Release Process zu Kubernetes auch noch einmal ausführlich aufgeschlüsselt.
(ID:46320644)
:quality(80)/images.vogel.de/vogelonline/bdb/1889600/1889669/original.jpg "Das CNCF-Projekt für die Batch-Verarbeitung trägt seit 2019 die Bezeichnung „Volcano“. (Reimund Bertrams auf Pixabay)")
:quality(80)/images.vogel.de/vogelonline/bdb/1905300/1905319/original.jpg "Kein Konzert ohne Violinschlüssel, keine Anwendung ohne Verschlüsselung, keine Orchestrierung ohne tonangebende Security (Gerd Altmann auf Pixabay)")