Kubernetes 安全和披露信息

本页面描述 Kubernetes 的安全和披露信息。

安全公告

加入 kubernetes-security-announce 邮件列表，以接收关于安全和主要 API 的公告。

报告漏洞

我们非常感谢安全研究人员和用户向 Kubernetes 开源社区报告漏洞。所有报告都会由一群社区志愿者进行彻底调查。

要提交报告，请将您的漏洞提交到 Kubernetes 漏洞赏金计划。这允许以标准化的响应时间进行漏洞的分类和处理。

您也可以通过电子邮件向私人 security@kubernetes.io 列表发送安全详情，以及 所有 Kubernetes bug 报告 所需的详情。

您可以使用 安全响应委员会成员 的 GPG 密钥加密您的电子邮件。使用 GPG 加密不是披露漏洞的强制要求。

何时应报告漏洞？

• 您认为您在 Kubernetes 中发现了一个潜在的安全漏洞
• 您不确定某个漏洞如何影响 Kubernetes
• 您认为您在 Kubernetes 所依赖的另一个项目中发现了一个漏洞
  • 对于有自己漏洞报告和披露流程的项目，请直接向其报告

何时不应报告漏洞？

• 您需要帮助调整 Kubernetes 组件以提高安全性
• 您需要帮助应用安全相关的更新
• 您的问题与安全无关

安全漏洞响应

每份报告将在 3 个工作日内得到安全响应委员会成员的确认和分析。这将启动 安全发布流程。

与安全响应委员会共享的任何漏洞信息将保留在 Kubernetes 项目内，除非有必要修复该问题，否则不会传播给其他项目。

随着安全问题从分类、确定修复方案到发布计划的进展，我们将及时向报告者更新信息。

公开披露时间

公开披露日期由 Kubernetes 安全响应委员会和 Bug 提交者协商确定。我们倾向于在用户有可行的缓解措施后尽快完全披露 Bug。当 Bug 或修复方案尚未完全理解、解决方案未经充分测试，或为了供应商协调，推迟披露是合理的。披露时间范围从立即（特别是如果 Bug 已公开）到几周不等。对于具有直接缓解措施的漏洞，我们期望从报告日期到披露日期大约为 7 天。Kubernetes 安全响应委员会在设定披露日期时拥有最终决定权。