Kubernetes 安全性和揭露資訊

本頁面描述 Kubernetes 安全性和揭露資訊。

安全公告

加入 kubernetes-security-announce 群組以接收有關安全性和主要 API 公告的電子郵件。

回報漏洞

我們非常感謝安全研究人員和使用者向 Kubernetes 開源社群回報漏洞。所有報告都由一組社群志願者徹底調查。

若要提出報告，請將您的漏洞提交至 Kubernetes 漏洞賞金計畫。這允許以標準化的回應時間對漏洞進行分類和處理。

您也可以透過電子郵件將安全詳細資訊和 所有 Kubernetes 錯誤報告 預期的詳細資訊發送至私有 security@kubernetes.io 清單。

您可以使用 安全回應委員會成員 的 GPG 金鑰加密您發送至此清單的電子郵件。使用 GPG 加密並非揭露所必需。

我應該在何時回報漏洞？

• 您認為您在 Kubernetes 中發現潛在的安全漏洞
• 您不確定漏洞如何影響 Kubernetes
• 您認為您在 Kubernetes 依賴的另一個專案中發現漏洞
  • 對於具有自身漏洞回報和揭露流程的專案，請直接在那裡回報

我不應該在何時回報漏洞？

• 您需要有關調整 Kubernetes 元件以提高安全性的協助
• 您需要有關套用安全相關更新的協助
• 您的問題與安全性無關

安全漏洞回應

安全回應委員會成員會在 3 個工作天內確認並分析每份報告。這將啟動 安全發布流程。

與安全回應委員會分享的任何漏洞資訊都保留在 Kubernetes 專案內，除非為了修正問題而有必要，否則不會散佈給其他專案。

隨著安全問題從分類、到識別的修正、到發布計畫的進展，我們將隨時向報告者更新最新情況。

公開揭露時間

公開揭露日期由 Kubernetes 安全回應委員會和錯誤提交者協商。我們傾向於在使用者可進行緩解後儘快完全揭露錯誤。當錯誤或修復尚未完全理解、解決方案未經過良好測試或為了供應商協調時，延遲揭露是合理的。揭露的時間範圍從立即（特別是如果已公開已知）到幾週。對於具有直接緩解措施的漏洞，我們預期報告日期到揭露日期約為 7 天。Kubernetes 安全回應委員會在設定揭露日期時擁有最終決定權。