Kubernetes 安全和披露信息

此页面描述了 Kubernetes 安全性和披露信息。

安全公告

加入 kubernetes-security-announce 组以接收有关安全性和主要 API 公告的电子邮件。

报告漏洞

我们非常感谢向 Kubernetes 开源社区报告漏洞的安全研究人员和用户。所有报告都会由一组社区志愿者进行彻底调查。

要进行报告,请将您的漏洞提交到 Kubernetes 漏洞赏金计划。这将允许对漏洞进行分类和处理,并提供标准化的响应时间。

您也可以向私人 security@kubernetes.io 列表发送电子邮件,其中包含安全详细信息以及 所有 Kubernetes 错误报告 中预期的详细信息。

您可以使用 安全响应委员会成员 的 GPG 密钥对发送到此列表的电子邮件进行加密。使用 GPG 加密不是披露的必要条件。

何时应报告漏洞?

  • 您认为您在 Kubernetes 中发现了潜在的安全漏洞
  • 您不确定漏洞如何影响 Kubernetes
  • 您认为您在 Kubernetes 依赖的其他项目中发现了漏洞
    • 对于拥有自己的漏洞报告和披露流程的项目,请直接向其报告

何时不应报告漏洞?

  • 您需要帮助调整 Kubernetes 组件以提高安全性
  • 您需要帮助应用安全相关更新
  • 您的问题与安全无关

安全漏洞响应

每个报告都会在 3 个工作日内由安全响应委员会成员确认和分析。这将启动 安全发布流程

与安全响应委员会共享的任何漏洞信息将保留在 Kubernetes 项目中,除非修复问题需要,否则不会传播到其他项目。

随着安全问题从分类、识别修复到发布计划,我们将不断更新报告者。

公开披露时间

Kubernetes 安全响应委员会和漏洞提交者将协商公开披露日期。我们希望在用户缓解措施可用后尽快完全披露漏洞。当漏洞或修复尚未完全理解、解决方案尚未经过充分测试或需要供应商协调时,延迟披露是合理的。披露时间范围从立即(尤其是如果它已经公开)到几周。对于具有直接缓解措施的漏洞,我们预计报告日期到披露日期的顺序为 7 天。Kubernetes 安全响应委员会对设置披露日期拥有最终决定权。

上次修改时间:2023 年 10 月 19 日下午 4:50 PST:调整 issues-security/security 和 kubectl 索引 (97175e4da4)