Kubernetes 安全和披露信息

此页面描述 Kubernetes 安全性和披露信息。

安全公告

加入 kubernetes-security-announce 群组，接收有关安全性和主要 API 公告的电子邮件。

报告漏洞

我们非常感谢安全研究人员和用户向 Kubernetes 开源社区报告漏洞。所有报告都由一组社区志愿者进行彻底调查。

要进行报告，请将您的漏洞提交到 Kubernetes 漏洞赏金计划。这允许以标准化的响应时间对漏洞进行分类和处理。

您也可以发送电子邮件至私有的 [email protected] 列表，其中包含安全详细信息以及 所有 Kubernetes 错误报告 所需的详细信息。

您可以使用 安全响应委员会成员 的 GPG 密钥对发送到此列表的电子邮件进行加密。进行披露 *不* 需要使用 GPG 加密。

我应该何时报告漏洞？

• 您认为您在 Kubernetes 中发现了潜在的安全漏洞
• 您不确定漏洞如何影响 Kubernetes
• 您认为您在 Kubernetes 依赖的另一个项目中发现了漏洞
  • 对于有自己的漏洞报告和披露流程的项目，请直接在那里报告

我应该何时 *不* 报告漏洞？

• 您需要帮助调整 Kubernetes 组件以提高安全性
• 您需要帮助应用与安全相关的更新
• 您的问题与安全无关

安全漏洞响应

每个报告都会在 3 个工作日内得到安全响应委员会成员的确认和分析。这将启动 安全发布流程。

与安全响应委员会共享的任何漏洞信息都会保留在 Kubernetes 项目中，除非为了修复问题有必要，否则不会传播到其他项目。

当安全问题从分类、到识别修复、到发布计划时，我们将保持报告者更新。

公开披露时间

公开披露日期由 Kubernetes 安全响应委员会和错误提交者协商。我们倾向于在用户缓解措施可用后尽快完全披露该错误。当尚未完全理解该错误或修复方案、解决方案未经充分测试或为了供应商协调时，延迟披露是合理的。披露的时间范围从立即（尤其是当它已经公开已知时）到几周。对于具有直接缓解措施的漏洞，我们预计报告日期到披露日期约为 7 天。Kubernetes 安全响应委员会在设置披露日期时拥有最终决定权。