Kubernetes 安全和披露資訊

本頁面描述 Kubernetes 的安全和披露資訊。

安全公告

加入 kubernetes-security-announce 郵件列表，以接收關於安全和主要 API 的公告。

報告漏洞

我們非常感謝安全研究人員和使用者向 Kubernetes 開源社群報告漏洞。所有報告都會由一群社群志願者進行徹底調查。

要提交報告，請將您的漏洞提交到 Kubernetes 漏洞賞金計劃。這允許以標準化的響應時間進行漏洞的分類和處理。

您也可以透過電子郵件向私人 security@kubernetes.io 列表傳送安全詳情，以及 所有 Kubernetes bug 報告 所需的詳情。

您可以使用 安全響應委員會成員 的 GPG 金鑰加密您的電子郵件。使用 GPG 加密不是披露漏洞的強制要求。

何時應報告漏洞？

• 您認為您在 Kubernetes 中發現了一個潛在的安全漏洞
• 您不確定某個漏洞如何影響 Kubernetes
• 您認為您在 Kubernetes 所依賴的另一個專案中發現了一個漏洞
  • 對於有自己漏洞報告和披露流程的專案，請直接向其報告

何時不應報告漏洞？

• 您需要幫助調整 Kubernetes 元件以提高安全性
• 您需要幫助應用安全相關的更新
• 您的問題與安全無關

安全漏洞響應

每份報告將在 3 個工作日內得到安全響應委員會成員的確認和分析。這將啟動 安全釋出流程。

與安全響應委員會共享的任何漏洞資訊將保留在 Kubernetes 專案內，除非有必要修復該問題，否則不會傳播給其他專案。

隨著安全問題從分類、確定修復方案到釋出計劃的進展，我們將及時向報告者更新資訊。

公開披露時間

公開披露日期由 Kubernetes 安全響應委員會和 Bug 提交者協商確定。我們傾向於在使用者有可行的緩解措施後儘快完全披露 Bug。當 Bug 或修復方案尚未完全理解、解決方案未經充分測試，或為了供應商協調，推遲披露是合理的。披露時間範圍從立即（特別是如果 Bug 已公開）到幾周不等。對於具有直接緩解措施的漏洞，我們期望從報告日期到披露日期大約為 7 天。Kubernetes 安全響應委員會在設定披露日期時擁有最終決定權。