Kubernetes 安全和披露信息

本页介绍 Kubernetes 安全和披露信息。

安全公告

加入 kubernetes-security-announce 组，以便接收有关安全和主要 API 公告的电子邮件。

报告漏洞

我们非常感谢安全研究人员和用户将漏洞报告给 Kubernetes 开源社区。所有报告都将由一组社区志愿者进行彻底调查。

要进行报告，请将您的漏洞提交给 Kubernetes 漏洞赏金计划。这允许对漏洞进行分类并使用标准化的响应时间进行处理。

您也可以通过私人 security@kubernetes.io 列表发送电子邮件，其中包含安全详细信息以及 所有 Kubernetes 错误报告 所需的详细信息。

您可以使用 安全响应委员会成员 的 GPG 密钥对发送到此列表的电子邮件进行加密。使用 GPG 加密不是披露的必要条件。

我应该在何时报告漏洞？

• 您认为自己在 Kubernetes 中发现了潜在的安全漏洞
• 您不确定漏洞如何影响 Kubernetes
• 您认为自己在 Kubernetes 依赖的其他项目中发现了漏洞
  • 对于有自己的漏洞报告和披露流程的项目，请直接在该项目中进行报告

我应该在何时不报告漏洞？

• 您需要帮助调整 Kubernetes 组件以提高安全性
• 您需要帮助应用与安全相关的更新
• 您的问题与安全无关

安全漏洞响应

安全响应委员会成员将在 3 个工作日内确认并分析每份报告。这将触发 安全发布流程。

与安全响应委员会共享的任何漏洞信息都将保存在 Kubernetes 项目中，除非为了解决问题，否则不会传播到其他项目。

随着安全问题的进展，从分类到确定修复方案再到发布计划，我们将随时向报告人提供最新信息。

公开披露时间

公开披露日期由 Kubernetes 安全响应委员会和错误提交者协商确定。我们希望在用户缓解措施可用后尽快完全披露错误。当错误或修复方案尚未完全理解，解决方案尚未经过充分测试，或者需要与供应商协调时，延迟披露是合理的。披露时间从立即（特别是如果它已经公开为人所知）到几周不等。对于具有直接缓解措施的漏洞，我们预计从报告日期到披露日期的间隔约为 7 天。Kubernetes 安全响应委员会拥有在设定披露日期时的最终决定权。