本文发表于一年多前。旧文章可能包含过时内容。请检查页面中的信息自发布以来是否已变得不正确。
宣布自动刷新的官方 Kubernetes CVE Feed
Kubernetes 社区长期以来的一个请求是,希望有一种程序化的方式让最终用户跟踪 Kubernetes 的安全问题(也称为“CVE”,以跟踪不同产品和供应商的公共安全问题的数据库命名)。伴随着 Kubernetes v1.25 的发布,我们很高兴地宣布,这样的订阅源已作为 alpha 特性提供。本博客将介绍这项新服务的背景和范围。
动机
随着越来越多的人关注 Kubernetes,与 Kubernetes 相关的 CVE 数量也在增加。尽管大多数直接、间接或传递性影响 Kubernetes 的 CVE 都会被定期修复,但 Kubernetes 的最终用户却没有一个统一的地方可以以编程方式订阅或拉取已修复 CVE 的数据。当前的选项要么已经损坏,要么不完整。
范围
此功能的作用
创建一个定期自动刷新、人类和机器可读的 Kubernetes 官方 CVE 列表
此功能不包含
- 分类和漏洞披露将继续由 SRC(安全响应委员会)负责。
- 列出在构建时依赖项和容器镜像中发现的 CVE 超出范围。
- 只有 Kubernetes SRC 公布的官方 CVE 才会发布在该订阅源中。
面向对象
- 最终用户:使用 Kubernetes 部署自己应用的个人或团队
- 平台提供商:管理 Kubernetes 集群的个人或团队
- 维护者:通过在 Kubernetes 社区中的工作(通过各种特别兴趣小组和委员会)创建和支持 Kubernetes 发布的个人或团队。
实现细节
我们发布了一篇配套的贡献者博客,深入描述了此 CVE 订阅源的实现方式,以确保其能合理地防止篡改,并在新 CVE 公布后自动更新。
接下来呢?
为了让这个功能成熟,SIG Security 正在收集使用此 alpha 订阅源的最终用户的反馈。
因此,为了在未来的 Kubernetes 版本中改进该订阅源,如果您有任何反馈,请在此跟踪问题中添加评论告知我们,或在 Kubernetes Slack 的 #sig-security-tooling 频道上告诉我们。(点击此处加入 Kubernetes Slack)
特别感谢 Neha Lohia (@nehalohia27) 和 Tim Bannister (@sftim),感谢他们数月以来从“构思到实现”这一特性过程中的出色合作。