Kubernetes 安全和披露信息

本页面介绍 Kubernetes 的安全性以及披露信息。

安全公告

加入 kubernetes-security-announce 邮件组，接收关于安全和重大 API 公告的电子邮件。

报告漏洞

我们非常感谢向 Kubernetes 开源社区报告漏洞的安全研究人员和用户。所有报告都会由社区志愿者进行彻底调查。

要报告漏洞，请将其提交到 Kubernetes 漏洞奖励计划。这使得能够以标准化响应时间对漏洞进行分类处理。

您也可以将安全细节以及所有 Kubernetes Bug 报告所需的详细信息发送到私有邮件组 security@kubernetes.io。

您可以使用安全响应委员会成员的 GPG 密钥对发送到此邮件组的电子邮件进行加密。进行披露时不强制要求使用 GPG 加密。

我何时应报告漏洞？

• 您认为您在 Kubernetes 中发现了一个潜在的安全漏洞
• 您不确定漏洞如何影响 Kubernetes
• 您认为您在 Kubernetes 依赖的另一个项目中发现了漏洞
  • 对于拥有自己的漏洞报告和披露流程的项目，请直接向其报告

我何时不应报告漏洞？

• 您需要关于如何调优 Kubernetes 组件以提高安全性的帮助
• 您需要关于如何应用安全相关更新的帮助
• 您的问题与安全无关

安全漏洞响应

安全响应委员会成员会在 3 个工作日内确认并分析每份报告。这将启动安全发布流程。

与安全响应委员会共享的任何漏洞信息将保留在 Kubernetes 项目内部，除非需要修复问题，否则不会传播给其他项目。

随着安全问题从分类到确定修复方案再到发布计划，我们将随时向报告者更新进展。

公开披露时间

公开披露日期由 Kubernetes 安全响应委员会和漏洞提交者协商确定。一旦用户缓解措施可用，我们优先尽快全面披露此 Bug。当 Bug 或修复方案尚未完全理解、解决方案未经充分测试或需要协调厂商时，可以合理地推迟披露。披露时间范围从即时（特别是如果 Bug 已公开已知）到几周不等。对于具有直接缓解措施的漏洞，我们预计从报告日期到披露日期大约为 7 天。Kubernetes 安全响应委员会在确定披露日期时拥有最终决定权。