宣佈自動更新的官方 Kubernetes CVE 饋送

Kubernetes 社群長期以來的要求是希望有一種程式化的方式，讓終端使用者可以追蹤 Kubernetes 安全性問題（也稱為 "CVE"，以追蹤不同產品和供應商的公開安全性問題的資料庫命名）。伴隨 Kubernetes v1.25 的發布，我們很高興宣布此資訊來源以 alpha 功能的形式提供。此部落格將涵蓋此新服務的背景和範圍。

動機

隨著越來越多人關注 Kubernetes，與 Kubernetes 相關的 CVE 數量也隨之增加。儘管大多數直接、間接或過渡性影響 Kubernetes 的 CVE 都會定期修復，但 Kubernetes 的終端使用者無法在單一位置以程式化的方式訂閱或提取已修復 CVE 的資料。目前的選項不是已損壞就是不完整。

範圍

此功能的作用

建立定期自動更新、人類和機器可讀的官方 Kubernetes CVE 清單

此功能不包含的作用

• 分類和漏洞揭露將繼續由 SRC（安全性回應委員會）完成。
• 列出在建置時期依賴性和容器映像中識別出的 CVE 超出範圍。
• 只有 Kubernetes SRC 宣布的官方 CVE 才會發布在資訊來源中。

適用對象

• 終端使用者：使用 Kubernetes 部署他們擁有的應用程式的個人或團隊
• 平台供應商：管理 Kubernetes 叢集的個人或團隊
• 維護者：透過在 Kubernetes 社群中（透過各種特殊興趣小組和委員會）工作來建立和支援 Kubernetes 版本的個人或團隊。

實作細節

發布了一篇支援貢獻者部落格，其中深入描述了如何實作此 CVE 資訊來源，以確保資訊來源受到合理的保護，防止竄改，並在宣布新的 CVE 後自動更新。

下一步？

為了使此功能升級，SIG Security 正在收集使用此 alpha 資訊來源的終端使用者的意見回饋。

因此，為了在未來的 Kubernetes 版本中改進資訊來源，如果您有任何意見回饋，請透過在此追蹤問題中新增評論或在 #sig-security-tooling Kubernetes Slack 頻道上告知我們。（在此處加入 Kubernetes Slack）

特別感謝 Neha Lohia (@nehalohia27) 和 Tim Bannister (@sftim)，感謝他們在「從概念到實作」此功能的數個月中的出色合作。

• ←上一篇
下一篇→