:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger:")
-
IT-Awards
/cdn4.vogel.de/infinity/white.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger:")
-
Specials
-
Development
Das Javascript-Framework Vue.js, Teil 8
-
DevOps
Von Grund auf sichere Software, Teil 2
-
Cloud Native
-
Management
-
Solution Stack
Das Javascript-Framework Vue.js, Teil 8
Code-Qualitätssicherung mit PDB und anderen Tools
-
Technologien
- News
- eBooks
- Mediathek
- CIO Briefing
- Forum
- Akademie
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021.")
:quality(80)/images.vogel.de/vogelonline/bdb/1759300/1759343/original.jpg "Dev-Insider hat am 21. Oktober die Dev-Insider Readers' Choice Awards vergeben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1752700/1752730/original.jpg "Bitte notieren: Am 21. Oktober 2020, ab 13:00 Uhr, erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2020.")
:quality(80)/images.vogel.de/vogelonline/bdb/1953700/1953796/original.jpg "Bei der Steuerungsumkehr wird der Kontrollfluss einer Anwendung extern, beispielsweise an das zugrunde liegende Framework, ausgelagert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1953500/1953524/original.jpg "Black-Box- und Glass- bzw. White-Box-Tests schließen sich nicht aus, sondern können sich im Gegenteil ergänzen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1947800/1947885/original.jpg "Kontrollstrukturen legen Bedingungen fest, unter denen ein Programm zu bestimmten Punkten im Quellcode springt.")
:quality(80)/images.vogel.de/vogelonline/bdb/1949200/1949261/original.jpg "Die Composition API von Vue.js kann dabei helfen, den Code besser zu strukturieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1964600/1964656/original.jpg "Der TrustInSoft Analyzer erkennt kritische Schwachstellen rein mathematisch.")
:quality(80)/images.vogel.de/vogelonline/bdb/1962900/1962980/original.jpg "OutSystems hat den Stand der Applikationsentwicklung in der Cloud untersucht.")
:quality(80)/images.vogel.de/vogelonline/bdb/1965100/1965146/original.jpg "Canonical Kubernetes ist nun in Version 1.24 verfügbar.")
:quality(80)/images.vogel.de/vogelonline/bdb/1960200/1960222/original.jpg "In verteilten und automatisierten Umgebungen ist es wichtig, die maschinellen Identitäten im Auge zu behalten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1945700/1945775/original.jpg "Im Zuge der Shift-Left-Strategie liegt das Augenmerk von Beginn an und durchgängig auf der Sicherheit.")
:quality(80)/images.vogel.de/vogelonline/bdb/1964600/1964639/original.jpg "Für Versicherer müssen Sicherheit und Compliance auch und gerade in der Cloud gewahrt bleiben gewahrt bleiben.")
:quality(80)/images.vogel.de/vogelonline/bdb/1959900/1959940/original.jpg "Full-Stack Observability bietet vollständige Transparenz hinsichtlich der IT-Verfügbarkeit und -Performance.")
:quality(80)/images.vogel.de/vogelonline/bdb/1964500/1964539/original.jpg "Ohne belastbare Infrastruktur haben Anwendungen weder in der Cloud, noch an der Edge oder irgendwo dazwischen einen Wert. Die Open Infrastructure Foundation legt den Grundstein, die Communities bauen das Fundament.")
:quality(80)/images.vogel.de/vogelonline/bdb/1964500/1964543/original.jpg "Unternehmen, die digitale Produkte verkaufen, sind seit diesem Jahr verpflichtet, regelmäßig diese Produkte zu aktualisieren – unklar ist vor allem noch der Zeitraum.")
:quality(80)/images.vogel.de/vogelonline/bdb/1958600/1958637/original.jpg "Trotz gewisser Ähnlichkeiten unterscheiden sich Open-Source-Lizenzen hinsichtlich der spezifischen Verpflichtungen, die mit ihnen einhergehen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1946600/1946653/original.jpg "Starten des Debugging-Vorgans in der JetBrains-Entwicklungsumgebung PyCharm.")
:quality(80)/images.vogel.de/vogelonline/bdb/1964500/1964546/original.jpg "Die Blockchain ist das fehlende Bindeglied zwischen IoT und Datenschutz sowie Cybersicherheit.")
CNCF zahlt für K8s-Schwachstellen Bug-Bounty-Programm für Kubernetes
Die Cloud Native Comupting Foundation, kurz CNCF, hat bei Hackerone.com ein Bug-Bounty-Programm für Kubernetes angestoßen. Sicherheitsforscher und Anwender können somit Schwachstellen direkt an die Kubernetes Open Source Community melden und werden dafür entlohnt.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png")
(Bild: Hackerone.com / CNCF)
Meldet ein Sicherheitsforscher oder Anwender über Hackerone.com eine Kubernetes-Schwachstelle an die CNCF, so verpflichtet er sich dazu, die Sicherheitslücke nicht auf eigene Faust offenzulegen. Die Disclosure Policy sieht vor, dass das Kubernetes Product Security Committee und der Bug-Melder ein Veröffentlichungsdatum aushandeln.
Die CNCF ziehe es vor, den Fehler so schnell wie möglich vollständig zu veröffentlichen, sobald die Lösung für den Benutzer verfügbar ist, heißt es auf Hackerone.com. Der Zeitrahmen für die Bekanntgabe hängt sehr vom Kontext des Fehlers ab und variiert von „sofort“ für öffentlich bekannte Probleme bis zu „Monaten“ für Fehler, die tiefgreifende Code-Änderungen erfordern.
Die Belohnungen richten sich nach dem Schweregrad der CVSS (Common Vulnerability Scoring Standard), wobei es sich hierbei erst einmal um eine grobe Maßgabe handelt. So bilden kubectl-Schwachstellen, die eine Benutzerinteraktion erfordern, beispielsweise eine Ausnahme. Sie werden nach der jeweils niedrigeren Einstufung vergütet, sprich eine „kritische“ Schwachstelle wird nur mit dem „high“-Entgelt honoriert.
Die Entscheidung über das „Kopfgeld“ liegt letztlich immer im Ermessen der Cloud Native Computing Foundation und gliedert sich in mehrere Stufen mit untergeordneten Schweregraden.
- Tier 1 (Stufe 1) betrifft Kernfunktionen von Kubernetes, sowohl generell verfügbare (general available, GA) Features als auch solche, die sich in der Betaphase befinden. Die Belohnungsspanne reicht von 10.000 US-Dollar (USD) für kritische Sicherheitslücken nach CVSS bis hin zu 200 US-Dollar für jene mit Severity „Low“.
- Unter Tier 2 mit einer Spanne von 5.000 bis 100 USD fallen allgemeine K8s-Komponenten mt GA- und Beta-Status, beispielsweise Container Storace Interface (CSI) Driver oder das Dashboard.
- Unterstützende Ressourcen wie die Webseite k8s.io, das Kubernetes-eigene CI/CD-System Prow oder die Dokumentation fallen in die Kategorie Tier 3, die Kopfgelder beginnen hier bei 2.500 USD und enden bei 100 USD.
Weitere Informationen finden sich auf der Website Hackerone.com. Bei Github wird der Security Release Process zu Kubernetes auch noch einmal ausführlich aufgeschlüsselt.
Aufklappen für Details zu Ihrer Einwilligung
(ID:46320644)
:quality(80)/images.vogel.de/vogelonline/bdb/1805600/1805605/original.jpg "Über einen Azure-Arc-Agenten lassen sich CNCF-konforme Kubernetes-Cluster in der Microsoft Cloud verwalten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1788600/1788673/original.jpg "Das Emblem des CNCF-Projeks „Argo“ spielt auf gleich zwei Bedeutungen der Bezeichnung Argonaut an: Zum einen ist damit einen Tintenfischart benannt und zum anderem sind damit die 50 Helden aus der griechischen Mythologie gemeint, die auf dem Schiff Argo nach Kolchis fuhren, um das Goldene Vlies zu rauben.")