Kubernetes 安全和信息披露

    加入 组,以获取关于安全性和主要 API 公告的电子邮件。

    你也可以使用此链接 订阅上述的 RSS 反馈。

    我们非常感谢向 Kubernetes 开源社区报告漏洞的安全研究人员和用户。 所有的报告都由社区志愿者进行彻底调查。

    你还可以通过电子邮件向私有 列表发送电子邮件,邮件中应该包含所有 Kubernetes 错误报告所需的详细信息。

    你可以使用 的 GPG 密钥加密你的电子邮件到此列表。使用 GPG 加密不需要公开。

    • 你认为在 Kubernetes 中发现了一个潜在的安全漏洞
    • 你认为你在 Kubernetes 依赖的另一个项目中发现了一个漏洞
    • 对于具有漏洞报告和披露流程的项目,请直接在该项目处报告

    我什么时候不应该报告漏洞?

    • 你需要帮助调整 Kubernetes 组件的安全性
    • 你的问题与安全无关

    每个报告在 3 个工作日内由产品安全团队成员确认和分析。这将启动安全发布过程

    随着安全问题从分类、识别修复、发布计划等方面的进展,我们将不断更新报告。

    公开披露日期由 Kubernetes 产品安全团队和 bug 提交者协商。我们倾向于在用户缓解措施可用时尽快完全披露该 bug。

    当 bug 或其修复还没有被完全理解,解决方案没有经过良好的测试,或者为了处理供应商协调问题时,延迟披露是合理的。