宣布自动刷新的官方 Kubernetes CVE 订阅源

Kubernetes 社区长期以来一直要求为最终用户提供一种以编程方式跟踪 Kubernetes 安全问题（也称为“CVE”，取自跟踪不同产品和供应商的公共安全问题的数据库）。伴随着 Kubernetes v1.25 的发布，我们很高兴宣布推出一个 alpha 功能的feed。本博客将介绍这项新服务的背景和范围。

动机

随着对 Kubernetes 的关注度越来越高，与 Kubernetes 相关的 CVE 数量也在增加。尽管大多数直接、间接或传递性影响 Kubernetes 的 CVE 都会定期修复，但 Kubernetes 的最终用户没有一个可以以编程方式订阅或提取已修复 CVE 数据的单一位置。当前的选项要么已损坏，要么不完整。

范围

这项功能的作用

创建定期自动刷新、人类和机器可读的官方 Kubernetes CVE 列表

这项功能不包括

• 漏洞分类和披露将继续由 SRC（安全响应委员会）完成。
• 列出在构建时依赖项和容器镜像中识别出的 CVE 不在范围之内。
• 只有 Kubernetes SRC 宣布的官方 CVE 将发布在 feed 中。

适用对象

• 最终用户：使用 Kubernetes 部署其拥有应用程序的个人或团队
• 平台提供商：管理 Kubernetes 集群的个人或团队
• 维护者：通过在 Kubernetes 社区（通过各种特别兴趣小组和委员会）的工作来创建和支持 Kubernetes 版本的个人或团队。

实施细节

发布了一个支持性的贡献者博客，详细描述了如何实施此 CVE feed，以确保该 feed 得到合理的保护，防止被篡改，并在宣布新的 CVE 后自动更新。

下一步是什么？

为了使此功能成熟，SIG Security 正在收集使用此 alpha feed 的最终用户的反馈。

因此，为了在未来的 Kubernetes 版本中改进 feed，如果您有任何反馈，请通过在此跟踪问题中添加评论或在#sig-security-tooling Kubernetes Slack 频道上告知我们。（在此处加入 Kubernetes Slack）

特别感谢 Neha Lohia (@nehalohia27) 和 Tim Bannister (@sftim) 在此功能的“从构思到实施”的多个月中的出色合作。

• ←上一篇
下一篇→