宣布自动刷新官方 Kubernetes CVE 订阅源

作者：Pushkar Joglekar (VMware)

Kubernetes 社区有一个长时间未解决的需求，即为最终用户提供一种编程方式来跟踪 Kubernetes 安全问题（也称为 “CVE”，这来自于跟踪不同产品和供应商的公共安全问题的数据库）。 随着 Kubernetes v1.25 的发布，我们很高兴地宣布以 alpha 特性的形式推出这样的订阅源。 在这篇博客中将介绍这项新服务的背景和范围。

动机

随着关注 Kubernetes 的人越来越多，与 Kubernetes 相关的 CVE 数量也在增加。 尽管大多数直接地、间接地或传递性地影响 Kubernetes 的 CVE 都被定期修复， 但 Kubernetes 的最终用户没有一个地方能够以编程方式来订阅或拉取固定的 CVE 数据。 目前的一些数据源要么已损坏，要么不完整。

范围

能做什么

创建一个定期自动刷新的、人和机器可读的官方 Kubernetes CVE 列表。

不能做什么

• 漏洞的分类和披露将继续由 SRC（Security Response Committee，安全响应委员会）完成。
• 不会列出在构建时依赖项和容器镜像中发现的 CVE。
• 只有 Kubernetes SRC 公布的官方 CVE 才会在订阅源中发布。

针对的受众

• 最终用户：使用 Kubernetes 部署他们的应用程序的个人或团队。
• 平台提供商：管理 Kubernetes 集群的个人或团队。
• 维护人员：通过各种特别兴趣小组和委员会在 Kubernetes 社区中创建和支持 Kubernetes 发布版本的个人或团队。

实现细节

发布了一个支持性的贡献者博客, 深入讲述这个 CVE 订阅源是如何实现的，如何确保该订阅源得到合理的保护以免被篡改， 如何在一个新的 CVE 被公布后自动更新这个订阅源。

下一步工作

为了完善此功能，SIG Security 正在收集使用此 Alpha 订阅源的最终用户的反馈。

因此，为了在未来的 Kubernetes 版本中改进订阅源，如果你有任何反馈，请通过添加评论至 问题追踪告诉我们， 或者在 #sig-security-tooling Kubernetes Slack 频道上告诉我们（从这里加入 Kubernetes Slack) 。

特别感谢 Neha Lohia (@nehalohia27) 和 Tim Bannister (@sftim)， 感谢他们几个月来从“构思到实现”此特性的出色合作。

• ←上一页
下一页→