这篇文章已经一年多了,较旧的文章可能包含过时的内容。请检查从发表以来,页面中的信息是否变得不正确。
宣布自动刷新官方 Kubernetes CVE 订阅源
作者:Pushkar Joglekar (VMware)
Kubernetes 社区有一个长时间未解决的需求,即为最终用户提供一种编程方式来跟踪
Kubernetes 安全问题(也称为 “CVE”,这来自于跟踪不同产品和供应商的公共安全问题的数据库)。
随着 Kubernetes v1.25 的发布,我们很高兴地宣布以 alpha
特性的形式推出这样的订阅源。
在这篇博客中将介绍这项新服务的背景和范围。
动机
随着关注 Kubernetes 的人越来越多,与 Kubernetes 相关的 CVE 数量也在增加。 尽管大多数直接地、间接地或传递性地影响 Kubernetes 的 CVE 都被定期修复, 但 Kubernetes 的最终用户没有一个地方能够以编程方式来订阅或拉取固定的 CVE 数据。 目前的一些数据源要么已损坏,要么不完整。
范围
能做什么
创建一个定期自动刷新的、人和机器可读的官方 Kubernetes CVE 列表。
不能做什么
- 漏洞的分类和披露将继续由 SRC(Security Response Committee,安全响应委员会)完成。
- 不会列出在构建时依赖项和容器镜像中发现的 CVE。
- 只有 Kubernetes SRC 公布的官方 CVE 才会在订阅源中发布。
针对的受众
- 最终用户:使用 Kubernetes 部署他们的应用程序的个人或团队。
- 平台提供商:管理 Kubernetes 集群的个人或团队。
- 维护人员:通过各种特别兴趣小组和委员会在 Kubernetes 社区中创建和支持 Kubernetes 发布版本的个人或团队。
实现细节
发布了一个支持性的贡献者博客, 深入讲述这个 CVE 订阅源是如何实现的,如何确保该订阅源得到合理的保护以免被篡改, 如何在一个新的 CVE 被公布后自动更新这个订阅源。
下一步工作
为了完善此功能,SIG Security 正在收集使用此 Alpha 订阅源的最终用户的反馈。
因此,为了在未来的 Kubernetes 版本中改进订阅源,如果你有任何反馈,请通过添加评论至 问题追踪告诉我们, 或者在 #sig-security-tooling Kubernetes Slack 频道上告诉我们(从这里加入 Kubernetes Slack) 。
特别感谢 Neha Lohia (@nehalohia27) 和 Tim Bannister (@sftim), 感谢他们几个月来从“构思到实现”此特性的出色合作。