你正在查看的文档所针对的是 Kubernetes 版本: v1.27

Kubernetes v1.27 版本的文档已不再维护。你现在看到的版本来自于一份静态的快照。如需查阅最新文档,请点击 最新版本。

宣布自动刷新官方 Kubernetes CVE 订阅源

作者:Pushkar Joglekar (VMware)

Kubernetes 社区有一个长时间未解决的需求,即为最终用户提供一种编程方式来跟踪 Kubernetes 安全问题(也称为 “CVE”,这来自于跟踪不同产品和供应商的公共安全问题的数据库)。 随着 Kubernetes v1.25 的发布,我们很高兴地宣布以 alpha 特性的形式推出这样的订阅源。 在这篇博客中将介绍这项新服务的背景和范围。

动机

随着关注 Kubernetes 的人越来越多,与 Kubernetes 相关的 CVE 数量也在增加。 尽管大多数直接地、间接地或传递性地影响 Kubernetes 的 CVE 都被定期修复, 但 Kubernetes 的最终用户没有一个地方能够以编程方式来订阅或拉取固定的 CVE 数据。 目前的一些数据源要么已损坏,要么不完整。

范围

能做什么

创建一个定期自动刷新的、人和机器可读的官方 Kubernetes CVE 列表。

不能做什么

  • 漏洞的分类和披露将继续由 SRC(Security Response Committee,安全响应委员会)完成。
  • 不会列出在构建时依赖项和容器镜像中发现的 CVE。
  • 只有 Kubernetes SRC 公布的官方 CVE 才会在订阅源中发布。

针对的受众

  • 最终用户使用 Kubernetes 部署他们的应用程序的个人或团队。
  • 平台提供商管理 Kubernetes 集群的个人或团队。
  • 维护人员:通过各种特别兴趣小组和委员会在 Kubernetes 社区中创建支持 Kubernetes 发布版本的个人或团队。

实现细节

发布了一个支持性的贡献者博客, 深入讲述这个 CVE 订阅源是如何实现的,如何确保该订阅源得到合理的保护以免被篡改, 如何在一个新的 CVE 被公布后自动更新这个订阅源。

下一步工作

为了完善此功能,SIG Security 正在收集使用此 Alpha 订阅源的最终用户的反馈。

因此,为了在未来的 Kubernetes 版本中改进订阅源,如果你有任何反馈,请通过添加评论至 问题追踪告诉我们, 或者在 #sig-security-tooling Kubernetes Slack 频道上告诉我们(从这里加入 Kubernetes Slack) 。

特别感谢 Neha Lohia (@nehalohia27) 和 Tim Bannister (@sftim), 感谢他们几个月来从“构思到实现”此特性的出色合作。