本页面描述了 Kubernetes 的安全与披露信息。
加入 kubernetes-security-announce 组,以接收有关安全和主要 API 公告的电子邮件。
我们非常感谢向 Kubernetes 开源社区报告漏洞的安全研究人员和用户。所有报告都会由一组社区志愿者进行彻底调查。
若要进行报告,请将您的漏洞提交至 Kubernetes 漏洞赏金计划。这使得漏洞能够通过标准化的响应时间进行分类和处理。
您也可以将安全详情以及 所有 Kubernetes 错误报告 所要求的详细信息通过电子邮件发送至私有的 security@kubernetes.io 列表。
您可以使用 安全响应委员会成员 的 GPG 密钥对发送到此列表的电子邮件进行加密。进行披露时并不强制要求使用 GPG 加密。
每一份报告都会在 3 个工作日内由安全响应委员会成员确认并分析。这将启动 安全发布流程。
与安全响应委员会共享的任何漏洞信息都将保留在 Kubernetes 项目内,除非修复该问题有必要,否则不会传播到其他项目。
随着安全问题从分类、确定修复方案到发布规划的推进,我们将持续向报告者更新进展。
公开披露日期由 Kubernetes 安全响应委员会与漏洞提交者协商决定。一旦用户可获得缓解措施,我们倾向于尽快完全披露该漏洞。当漏洞或修复方案尚未完全理解、解决方案未经充分测试,或者出于厂商协调的需要时,推迟披露是合理的。披露的时间范围从立即(特别是如果它已经公开已知)到几周不等。对于具有直接缓解措施的漏洞,我们预计从报告日期到披露日期的时间约为 7 天。Kubernetes 安全响应委员会对设定披露日期拥有最终决定权。