安全漏洞

    要进行漏洞报告,请将包含漏洞详细信息的电子邮件发送到 istio-security-vulnerability-reports@googlegroups.com, 对于与潜在安全漏洞无关的普通产品错误,请转到我们的页面以了解如何操作。

    只要您有以下情况,请向我们发送报告:

    • 认为 Istio 具有潜在的安全漏洞。
    • 不确定漏洞是否或如何影响 Istio。
    • 认为 Istio 依赖的另一个项目中存在漏洞。例如:Envoy,Docker 或 Kubernetes。

    当不确定的时候,请向我们私下披露。这包括但不限于:

    • 任何的崩溃,特别是在 Envoy 中
    • 任何的安全策略(比如认证或授权)的绕过或者脆弱性
    • 任何潜在的拒绝服务(DoS)

    什么时候不报告安全漏洞?

    在以下情况下,请勿发送漏洞报告:

    • 您需要帮助调整 Istio 组件的安全性。
    • 您的问题与安全性无关。
    • 您的问题与基本映像依赖关系有关(查看 )

    评估

    您与 Istio 安全团队共享的任何漏洞信息都属于 Istio 项目,我们仅共享解决问题所需的信息,不会将信息传播给其他项目。

    从 到 再到 ,我们会随时反馈安全问题的状态。

    一旦对安全漏洞进行了充分描述,Istio 团队就会开发出修复程序。修补程序的开发和测试在私有 GitHub 仓库中进行,以防止过早披露此漏洞信息。

    早期披露

    Istio 项目维护了一个邮件列表,用于在私下及早的公开安全漏洞。该列表用于提供可操作的信息给与 Istio 密切的合作伙伴。该列表不用于让个人了解安全问题。

    在选择公开披露的当天,下面一系列动作会尽可能快的进行:

    • 将私有 GitHub 仓库中拥有修复程序的分支与公共仓库的相应分支进行合并。

    • 发布工程师确保所有必要的二进制文件都可以迅速生成和发布。

    • 二进制文件可用后,将通过以下渠道发送公告:

    基础镜像

    Istio 提供了两组基于 和基于 的默认 docker 镜像,更多详情请查阅(Harden Docker Container Images)。 这些镜像中偶尔会存在一些新发现的 CVE 安全漏洞。 Istio 安全团队会对这些镜像进行自动扫描,以确保基础镜像中没有已知的 CVE 安全漏洞。