宣布自动刷新官方 Kubernetes CVE 订阅源

2023年 7月 11日 26.5k 0

作者:Pushkar Joglekar (VMware)

Kubernetes 社区有一个长时间未解决的需求,即为最终用户提供一种编程方式来跟踪
Kubernetes 安全问题(也称为 “CVE”,这来自于跟踪不同产品和供应商的公共安全问题的数据库)。
随着 Kubernetes v1.25 的发布,我们很高兴地宣布以 alpha
特性的形式推出这样的订阅源。
在这篇博客中将介绍这项新服务的背景和范围。

动机

随着关注 Kubernetes 的人越来越多,与 Kubernetes 相关的 CVE 数量也在增加。
尽管大多数直接地、间接地或传递性地影响 Kubernetes 的 CVE 都被定期修复,
但 Kubernetes 的最终用户没有一个地方能够以编程方式来订阅或拉取固定的 CVE 数据。
目前的一些数据源要么已损坏,要么不完整。

范围

能做什么

创建一个定期自动刷新的、人和机器可读的官方 Kubernetes CVE 列表。

不能做什么

  • 漏洞的分类和披露将继续由 SRC(Security Response Committee,安全响应委员会)完成。
  • 不会列出在构建时依赖项和容器镜像中发现的 CVE。
  • 只有 Kubernetes SRC 公布的官方 CVE 才会在订阅源中发布。

针对的受众

  • 最终用户:使用 Kubernetes 部署他们的应用程序的个人或团队。
  • 平台提供商:管理 Kubernetes 集群的个人或团队。
  • 维护人员:通过各种特别兴趣小组和委员会在 Kubernetes 社区中创建和支持 Kubernetes
    发布版本的个人或团队。

实现细节

发布了一个支持性的贡献者博客,
深入讲述这个 CVE 订阅源是如何实现的,如何确保该订阅源得到合理的保护以免被篡改,
如何在一个新的 CVE 被公布后自动更新这个订阅源。

下一步工作

为了完善此功能,SIG Security 正在收集使用此 Alpha 订阅源的最终用户的反馈。

因此,为了在未来的 Kubernetes 版本中改进订阅源,如果你有任何反馈,请通过添加评论至
问题追踪告诉我们,
或者在 #sig-security-tooling
Kubernetes Slack 频道上告诉我们(从这里加入 Kubernetes Slack) 。

特别感谢 Neha Lohia
(@nehalohia27)
和 Tim Bannister (@sftim),
感谢他们几个月来从“构思到实现”此特性的出色合作。

相关文章

KubeSphere 部署向量数据库 Milvus 实战指南
探索 Kubernetes 持久化存储之 Longhorn 初窥门径
征服 Docker 镜像访问限制!KubeSphere v3.4.1 成功部署全攻略
那些年在 Terraform 上吃到的糖和踩过的坑
无需 Kubernetes 测试 Kubernetes 网络实现
Kubernetes v1.31 中的移除和主要变更

发布评论