宣佈自動重新整理的官方 Kubernetes CVE Feed

Kubernetes 社群長期以來的一個請求是，希望有一種程式化的方式讓終端使用者跟蹤 Kubernetes 的安全問題（也稱為“CVE”，以跟蹤不同產品和供應商的公共安全問題的資料庫命名）。伴隨著 Kubernetes v1.25 的釋出，我們很高興地宣佈，這樣的訂閱源已作為 alpha 特性提供。本部落格將介紹這項新服務的背景和範圍。

動機

隨著越來越多的人關注 Kubernetes，與 Kubernetes 相關的 CVE 數量也在增加。儘管大多數直接、間接或傳遞性影響 Kubernetes 的 CVE 都會被定期修復，但 Kubernetes 的終端使用者卻沒有一個統一的地方可以以程式設計方式訂閱或拉取已修復 CVE 的資料。當前的選項要麼已經損壞，要麼不完整。

範圍

此功能的作用

建立一個定期自動重新整理、人類和機器可讀的 Kubernetes 官方 CVE 列表

此功能不包含

• 分類和漏洞披露將繼續由 SRC（安全響應委員會）負責。
• 列出在構建時依賴項和容器映象中發現的 CVE 超出範圍。
• 只有 Kubernetes SRC 公佈的官方 CVE 才會釋出在該訂閱源中。

面向物件

• 終端使用者：使用 Kubernetes 部署自己應用的個人或團隊
• 平臺提供商：管理 Kubernetes 叢集的個人或團隊
• 維護者：透過在 Kubernetes 社群中的工作（透過各種特別興趣小組和委員會）建立和支援 Kubernetes 釋出的個人或團隊。

實現細節

我們釋出了一篇配套的貢獻者部落格，深入描述了此 CVE 訂閱源的實現方式，以確保其能合理地防止篡改，並在新 CVE 公佈後自動更新。

接下來呢？

為了讓這個功能成熟，SIG Security 正在收集使用此 alpha 訂閱源的終端使用者的反饋。

因此，為了在未來的 Kubernetes 版本中改進該訂閱源，如果您有任何反饋，請在此跟蹤問題中新增評論告知我們，或在 Kubernetes Slack 的 #sig-security-tooling 頻道上告訴我們。（點選此處加入 Kubernetes Slack）

特別感謝 Neha Lohia (@nehalohia27) 和 Tim Bannister (@sftim)，感謝他們數月以來從“構思到實現”這一特性過程中的出色合作。

• ←上一篇
• 下一篇→