Black lives matter.
We stand in solidarity with the Black community.
Racism is unacceptable.
It conflicts with the core values of the Kubernetes project and our community does not tolerate it.
Kubernetes 安全和信息披露
本页面介绍 Kubernetes 安全和信息披露相关的内容。
安全公告
加入 kubernets-announce 组,以获取关于安全性和主要 API 公告的电子邮件。
您也可以使用此链接订阅上述的 RSS 反馈。
报告一个漏洞
我们非常感谢向 Kubernetes 开源社区报告漏洞的安全研究人员和用户。 所有的报告都由社区志愿者进行彻底调查。
如需报告,请连同安全细节以及预期的所有 Kubernetes bug 报告详细信息电邮到security@kubernetes.io 列表。
您还可以通过电子邮件向私有 security@kubernetes.io 列表发送电子邮件,邮件中应该包含所有 Kubernetes 错误报告所需的详细信息。
您可以使用产品安全团队成员的 GPG 密钥加密您的电子邮件到此列表。 使用 GPG 加密不需要公开。
我应该在什么时候报告漏洞?
- 您认为在 Kubernetes 中发现了一个潜在的安全漏洞
- 您不确定漏洞如何影响 Kubernetes
- 您认为您在 Kubernetes 依赖的另一个项目中发现了一个漏洞
- 对于具有漏洞报告和披露流程的项目,请直接在该项目处报告
我什么时候不应该报告漏洞?
- 您需要帮助调整 Kubernetes 组件的安全性
- 您需要帮助应用与安全相关的更新
- 您的问题与安全无关
安全漏洞响应
每个报告在 3 个工作日内由产品安全团队成员确认和分析。这将启动安全发布过程。
与产品安全团队共享的任何漏洞信息都保留在 Kubernetes 项目中,除非有必要修复该问题,否则不会传播到其他项目。
随着安全问题从分类、识别修复、发布计划等方面的进展,我们将不断更新报告。
公开披露时间
公开披露日期由 Kubernetes 产品安全团队和 bug 提交者协商。我们倾向于在用户缓解措施可用时尽快完全披露该 bug。
当 bug 或其修复还没有被完全理解,解决方案没有经过良好的测试,或者为了处理供应商协调问题时,延迟披露是合理的。
信息披露的时间范围从即时(尤其是已经公开的)到几周。作为一个基本的约定,我们希望报告日期到披露日期的间隔是 7 天。在设置披露日期时,Kubernetes 产品安全团队拥有最终决定权。