Istio 安全版本发布处理方式更新：补丁星期二、发布禁运和 0 天漏洞

虽然 Istio 产品安全工作组的大部分工作都在幕后进行，但我们一直在倾听社区的意见，以设定安全版本发布的预期。我们了解到，网格管理员、运营商和供应商很难了解安全公告和安全版本发布。

我们目前通过多个渠道披露漏洞和安全版本发布

• istio.io 通过我们的 版本发布公告 和 安全公告
• 讨论
• 在 Slack 上的公告频道
• 推特
• RSS

在运行任何软件时，最好在升级时计划可能的停机时间。鉴于 Istio 社区在 2021 年围绕 Day 2 运营所做的工作，环境工作组在简化用户遇到的许多升级问题方面做得很好。产品安全工作组打算通过定期进行安全版本发布来帮助 Day 2 运营，以便用户可以提前计划升级操作。

补丁星期二

产品安全工作组打算在每个月的第二个星期二发布安全版本。这些安全版本可能包含多个 CVE 的修复程序。产品安全工作组的目的是让这些安全版本不包含任何其他修复程序，尽管这并不总是可能的。

当产品安全工作组打算发布即将发布的安全补丁时，将在发布前 2 周在 Istio 讨论区 上发布公告。如果您在生产环境中运行 Istio，我们建议您关注公告类别以获得此类版本的通知。如果没有发布此类公告，则该月将不会发布安全版本，但以下列出的某些例外情况除外。

第一个补丁星期二

我们很高兴地宣布 Istio 1.9.5 和 Istio 1.8 的最终版本 1.8.6 是符合此模式的第一个安全版本。由于 Istio 1.10 将很快发布，我们打算在 6 月份继续这一新传统。

这些版本修复了 3 个 CVE。有关修复的特定 CVE 信息，请参阅版本页面。

计划外的安全版本发布

0 天漏洞

不幸的是，无法计划 0 天漏洞。在披露后，产品安全工作组需要发布一个带外安全版本。上述方法将用于披露此类问题，因此请至少使用其中一种方法来获取此类披露的通知。

第三方发布禁运

与 0 天漏洞类似，安全版本发布可能会受到第三方发布禁运的约束，例如 Envoy。发生这种情况时，一旦发布禁运解除，Istio 将发布当日补丁。

安全最佳实践

Istio 安全最佳实践 在过去几个月里得到了很多改进。我们建议您定期检查它，因为我们最近发布的许多安全公告可以通过利用安全最佳实践页面中讨论的方法来缓解。

提前披露列表

如果您符合 成为 Istio 提前披露列表成员的标准，请申请成为成员。即将发布的安全版本的补丁将在 Istio 的补丁星期二前约 2 周提供给提前披露列表。

有时，即将发布的 Istio 安全版本也需要 Envoy 的补丁。由于他们的发布禁运，我们无法重新分发 Envoy 补丁。 请参阅 Envoy 的指南，了解如何加入他们的提前披露列表。

安全反馈

产品安全工作组每周二太平洋时间 9:00-9:30 举行双周会议。有关更多信息，请参阅 Istio 工作组日历。

我们的下一次公开会议将于 2021 年 5 月 25 日举行。欢迎加入我们！