2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
柏林—如何在開(kāi)源Kubernetes容器編排和管理系統(tǒng)中處理安全漏洞披露?在柏林舉行的Kubecon / CloudNative會(huì)議上,這是一個(gè)僅在會(huì)議室舉行的會(huì)議上詳細(xì)回答的問(wèn)題。盡管會(huì)議的標(biāo)題有些古怪,但“帶有安全釋放過(guò)程的火山唇上的瘋狂舞蹈”在標(biāo)題后面有特殊含義。
CoreOS的首席技術(shù)官布蘭登·菲利普斯(Brandon Phillips)表示:“我們一直在火山邊緣徘徊,由于安全漏洞,我們可能會(huì)陷入其中。” “另一方面,我們可能會(huì)跌倒,因?yàn)槲覀儧](méi)有處理安全漏洞的流程,而且我們一直擔(dān)心火山另一側(cè)的不穩(wěn)定。”
但是,Kubernetes項(xiàng)目在最近幾個(gè)月采取了多個(gè)步驟來(lái)改進(jìn)其安全公開(kāi)流程。與飛利浦共同出席會(huì)議的Google軟件工程師Jessie Frazelle指出,錯(cuò)誤是不可避免的,將來(lái)有可能在Kubernetes中發(fā)現(xiàn)更多錯(cuò)誤。菲利普斯開(kāi)玩笑說(shuō),已經(jīng)發(fā)明了最安全的計(jì)算系統(tǒng),它只是一個(gè)基本的計(jì)算器,沒(méi)有與其他任何東西連接。他補(bǔ)充說(shuō),一旦計(jì)算能力連接到外部世界,通常就會(huì)有相關(guān)的風(fēng)險(xiǎn)。
Frazelle指出用戶(hù)希望軟件沒(méi)有錯(cuò)誤,但是當(dāng)有錯(cuò)誤時(shí),他們想知道何時(shí)有可用的修補(bǔ)程序,以便他們可以更新其應(yīng)用程序。當(dāng)涉及到安全研究人員時(shí),他們希望在提交錯(cuò)誤后從供應(yīng)商和項(xiàng)目中進(jìn)行更新,并且還希望有明確的披露時(shí)間表。
對(duì)于某些類(lèi)型的高嚴(yán)重性安全漏洞,通常最好在進(jìn)行修復(fù)后才對(duì)安全信息進(jìn)行禁運(yùn)。Frazelle評(píng)論說(shuō),可能發(fā)生的最糟糕的情況是,漏洞在修復(fù)之前就已公開(kāi),并且該漏洞擁有自己的昵稱(chēng)和徽標(biāo)。
她說(shuō):“每個(gè)軟件錯(cuò)誤都需要一個(gè)有趣的名字,除了我的任何錯(cuò)誤之外。”
Kubernetes從中學(xué)到了許多處理其他公開(kāi)源代碼工作的安全披露的最佳實(shí)踐。Phillips說(shuō),Linux內(nèi)核開(kāi)發(fā)人員的政策是不與安全研究人員就披露時(shí)間表進(jìn)行協(xié)商。最好的做法通常是盡快修復(fù)一個(gè)錯(cuò)誤,然后在修復(fù)后讓用戶(hù)知道。
其他開(kāi)源項(xiàng)目已實(shí)施的另一種最佳實(shí)踐是某種形式的漏洞預(yù)警系統(tǒng)。使用這種方法,即使沒(méi)有在早期預(yù)警中提供有關(guān)bug的完整詳細(xì)信息,仍會(huì)提前通知用戶(hù),以便他們?cè)谘a(bǔ)丁可用后會(huì)為更新做好更充分的準(zhǔn)備。Phillips和Frazelle都還強(qiáng)調(diào),用戶(hù)只需進(jìn)行簡(jiǎn)單的Google搜索即可輕松找到該項(xiàng)目的安全披露文檔。還需要一個(gè)專(zhuān)門(mén)的安全響應(yīng)團(tuán)隊(duì)和某種形式的協(xié)調(diào)郵件列表。
從流程的角度來(lái)看,Phillips說(shuō),Kubernetes的工作方式目前是,安全修復(fù)響應(yīng)團(tuán)隊(duì)通常會(huì)在24小時(shí)內(nèi)響應(yīng)安全漏洞報(bào)告。修復(fù)安全漏洞可能需要一到七天的時(shí)間。修復(fù)完成后,會(huì)向Kubernetes用戶(hù)郵件列表發(fā)送“即將修復(fù)”通知。最終,完整的補(bǔ)丁程序公開(kāi)信息和對(duì)發(fā)行版的可用性將在發(fā)出安全錯(cuò)誤報(bào)告后的14天內(nèi)完成。
雖然Kubernetes確實(shí)有安全披露流程和政策,但Frazelle和Philips表示仍有改進(jìn)的空間,需要個(gè)人和供應(yīng)商的更多參與。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。