安全漏洞

 4分钟阅读  

我们非常感谢报告 Istio 安全漏洞的安全研究人员和用户。我们会彻底调查每一份报告。

报告漏洞

要进行报告,请向私人 istio-security-vulnerability-reports@googlegroups.com 邮件列表发送包含漏洞详细信息的电子邮件。对于与潜在安全漏洞无关的正常产品错误,请前往我们的 报告错误 页面了解该怎么做。

何时报告安全漏洞?

在以下情况下向我们发送报告:

  • 认为 Istio 可能存在安全漏洞。
  • 不确定漏洞是否或如何影响 Istio。
  • 认为漏洞存在于 Istio 依赖的其他项目中。例如,Envoy、Docker 或 Kubernetes。

如有疑问,请私下披露。这包括但不限于

  • 任何崩溃,尤其是在 Envoy 中
  • 任何安全策略(如身份验证或授权)绕过或弱点
  • 任何潜在的拒绝服务 (DoS)

何时不报告安全漏洞?

请勿发送漏洞报告,如果

  • 您需要帮助调整 Istio 组件以提高安全性。
  • 您需要帮助应用与安全相关的更新。
  • 您的问题与安全无关。
  • 您的问题与基础镜像依赖项相关(请参阅 基础镜像

评估

Istio 安全团队会在三个工作日内确认并分析每个漏洞报告。

您与 Istio 安全团队共享的任何漏洞信息都将保存在 Istio 项目中。我们不会将信息传播到其他项目。我们仅在需要修复问题时共享信息。

我们会随时向报告者更新安全问题的状态,从 已分类 变为 已识别修复,再到 发布计划

解决问题

一旦安全漏洞得到充分描述,Istio 团队将开发修复程序。修复程序的开发和测试将在私有的 GitHub 存储库中进行,以防止过早披露漏洞。

提前披露

Istio 项目维护一个邮件列表,用于私下提前披露安全漏洞。该列表用于向 Istio 合作伙伴提供可操作的信息。该列表不供个人查找有关安全问题的信息。

请参阅 提前披露安全漏洞 了解详细信息。

公开披露

在公开披露的当天,将尽快执行一系列活动

  • 将修复程序所在的私有 GitHub 存储库中的更改合并到相应的公共分支集中。

  • 发布工程师确保所有必要的二进制文件都能及时构建和发布。

  • 二进制文件可用后,将在以下渠道发布公告

    • Istio 博客
    • discuss.istio.io 上的“公告”类别
    • Istio Twitter 订阅源
    • Slack 上的 #announcements 频道

在尽可能的情况下,此公告将提供可操作的信息,并包括客户在升级到已修复版本之前可以采取的任何缓解措施。建议将这些公告的目标时间定为世界协调时 (UTC) 的周一至周四 16:00。这意味着公告将在太平洋上午、欧洲傍晚和亚洲深夜发布。

基础镜像

Istio 提供两组基于 ubuntu(默认)和基于 distroless(请参阅 强化 Docker 容器镜像)的 Docker 镜像。这些基础镜像偶尔会有 CVE。Istio 安全团队已实现自动化扫描,以确保基础镜像没有 CVE。

当在我们的镜像中检测到 CVE 时,将自动构建新的镜像并用于所有将来的构建。此外,安全团队会分析漏洞,以查看它们是否可以直接在 Istio 中利用。在大多数情况下,这些漏洞可能存在于基础镜像中的包中,但在 Istio 使用这些包的方式中无法利用。对于这些情况,通常不会仅仅为了解决这些 CVE 而发布新版本,这些修复程序将在下一个定期计划的版本中包含。

因此,除非有证据表明它可能在 Istio 中被利用,否则基础镜像 CVE 不应 报告

如果减少基础镜像 CVE 对您很重要,那么强烈建议您使用 distroless 基础镜像。

这些信息是否有用?
您是否有任何改进建议?

感谢您的反馈!