宣布自动刷新官方 Kubernetes CVE 源

Kubernetes 社区长期以来的一个请求是，为最终用户提供一种程序化方式来跟踪 Kubernetes 安全问题（也称为 "CVE"，这是因为有一个数据库用于跟踪不同产品和供应商的公共安全问题）。随着 Kubernetes v1.25 的发布，我们很高兴地宣布此类 订阅源 作为一项 alpha 特性可用。本博客将介绍这项新服务的背景和范围。

动机

随着越来越多的人关注 Kubernetes，与 Kubernetes 相关的 CVE 数量不断增加。虽然大多数直接、间接或传递影响 Kubernetes 的 CVE 会定期得到修复，但 Kubernetes 最终用户没有一个统一的地方可以程序化地订阅或获取已修复 CVE 的数据。目前的选项要么已损坏，要么不完整。

范围

本功能的作用

创建一个定期自动刷新、人类和机器可读的官方 Kubernetes CVE 列表

本功能不涵盖的范围

• 分类和漏洞披露将继续由 SRC（安全响应委员会）负责。
• 列出在构建时依赖项和容器镜像中发现的 CVE 不在本功能范围内。
• 只有由 Kubernetes SRC 宣布的官方 CVE 才会在订阅源中发布。

适用人群

• 最终用户：使用 Kubernetes 部署自己拥有应用程序的个人或团队
• 平台提供商：管理 Kubernetes 集群的个人或团队
• 维护者：通过在 Kubernetes 社区中工作（通过各种特别兴趣小组和委员会）创建和支持 Kubernetes 发布的个人或团队。

实现细节

发表了一篇配套的贡献者博客，深入描述了如何实现此 CVE 订阅源，以确保该订阅源受到合理的防篡改保护，并在宣布新的 CVE 后自动更新。

后续计划？

为了使此功能晋升为更高阶段，SIG Security 正在收集使用此 alpha 订阅源的最终用户的反馈。

因此，为了在未来的 Kubernetes 版本中改进此订阅源，如果您有任何反馈，请通过在此 跟踪问题 中添加评论告知我们，或在 #sig-security-tooling Kubernetes Slack 频道上告知我们。（在此加入 Kubernetes Slack）

特别感谢 Neha Lohia (@nehalohia27) 和 Tim Bannister (@sftim)，他们数月来为这个功能的“构思到实现”进行了出色的协作。

• ←上一篇
• 下一篇→