Harbor用户必读：安全告警和响应机制

题图摄于巴塞罗那港

注&＃xff1a;微信公众号不按照时间排序&＃xff0c;请关注“亨利笔记”&＃xff0c;并加星标以置顶&＃xff0c;以免错过更新。

在生产系统中使用 Harbor 的用户&＃xff0c;需要及时了解各种发现的 Harbor 安全漏洞或者问题&＃xff0c;并采取必要的反馈、确认和修补措施。本文介绍如何接收安全漏洞的告警通知、如何汇报可能的安全问题&＃xff0c;并且采取适当的响应策略。建议用户收藏本文。

本文节选自《Harbor权威指南》一书。目前当当网优惠中&＃xff0c;点击下图直接购买。

Harbor 是首个中国原创的 CNCF 毕业&＃xff08;Graduated&＃xff09;级别项目&＃xff0c;意味着 Harbor 的成熟度已经被大多数用户接受&＃xff0c;在生产环境下有非常多的部署和应用。和所有的软件项目一样&＃xff0c;Harbor 可能会出现一些安全问题。尽管 Harbor 项目在申请毕业时经过了安全性审计&＃xff08;Security Audit&＃xff09;并且修复了发现的问题&＃xff0c;但是作为一个大型开源社区&＃xff0c;Harbor 项目制定并采用了安全披露和响应策略&＃xff0c;以确保在出现安全方面的问题时&＃xff0c;维护者可以快速地处理和响应。

Harbor 的用户或厂商应当紧密关注 Harbor 的安全公告和安全补丁&＃xff0c;及时给所运行的 Harbor 系统升级或安装补丁程序。如果发现安全问题&＃xff0c;则应当及时报告Harbor 安全团队&＃xff0c;以便确认和提供修复补丁。Harbor 的发行商还可以申请加入安全问题通知邮件组。&＃xff08;注&＃xff1a;微信公众号不按照时间排序&＃xff0c;请关注“亨利笔记”&＃xff0c;并加星标以置顶&＃xff0c;以免错过更新。&＃xff09;

1&＃xff0e;支持的版本

Harbor 社区维护着最后发布的三个次级版本。如最新版本是 2.0.x 时&＃xff0c;社区维护的版本是 1.9.x、1.10.x 和 2.0.x&＃xff0c;当出现安全问题时&＃xff0c;会根据严重性和可行性将适用的安全补丁程序移植到这三个版本上。为了获得安全补丁程序&＃xff0c;建议用户采用在维护范围内的版本。如果用户目前运行的版本较旧&＃xff0c;则会有潜在的安全风险&＃xff0c;而且 Harbor 团队可能不提供修复方案&＃xff0c;因此最好把版本升级。&＃xff08;本文为公众号&＃xff1a;亨利笔记 原创文章&＃xff09;

2&＃xff0e;报告安全漏洞的私下披露流程

系统的安全性是用户最需要关注事情之一&＃xff0c;当用户发现安全漏洞或疑似安全漏洞时&＃xff0c;都应私下报告给 Harbor 项目维护者&＃xff0c;这样可以在漏洞修复前最大限度地减少 Harbor 用户受到的攻击。维护者将尽快调查漏洞&＃xff0c;并在下一个补丁程序&＃xff08;或次要版本&＃xff09;中进行修补。漏洞的信息可以完全保留在项目内部来处理。

当用户有下列情形之一时&＃xff0c;可以报告漏洞。

◎认为 Harbor 有潜在的安全漏洞。

◎怀疑潜在的漏洞&＃xff0c;但不确定它是否会影响 Harbor。

◎知道或怀疑 Harbor 使用的另一个项目有潜在漏洞&＃xff0c;如 Docker Distribution、PostgreSQL、Redis、Notary、Clair、Trivy 等。

要报告漏洞或与安全相关的问题&＃xff0c;用户可通过电子邮件向 cncf-harbor-security &＃64;  lists. cncf.io 发送有关漏洞的详细信息&＃xff0c;该电子邮件会被由维护者组成的 Harbor 安全团队接收。电子邮件将在3个工作日内得到处理&＃xff0c;包括调查该问题的详细计划及可以变通的方法。如果发现一个有关 Harbor 的安全漏洞被公开披露&＃xff0c;则请立即发送电子邮件至cncf-harbor-security &＃64; lists. cncf.io 来联系 Harbor 的安全团队。

重要提示&＃xff1a;出于对用户社区的保护&＃xff0c;不要在 GitHub 或其他公开媒体上发布关于安全漏洞的问题。

发送的电子邮件需提供描述性邮件标题&＃xff0c;电子邮件正文中包含以下信息。

◎ 基本身份信息&＃xff0c;如汇报人的姓名、所属单位或公司。

◎ 重现此漏洞的详细步骤&＃xff08;可包括 POC 脚本&＃xff0c;屏幕截图和抓包数据等&＃xff09;。

◎ 描述此漏洞对 Harbor 的影响及相关的硬件和软件配置&＃xff0c;以便 Harbor 安全团队可以重现此漏洞。

◎ 如果有可能&＃xff0c;则描述漏洞如何影响 Harbor 的使用及对攻击面的估计。

◎ 列出与 Harbor 一起使用以产生漏洞的其他项目或依赖项。

3&＃xff0e;补丁、版本和披露报告

在收到漏洞报告之后&＃xff0c;Harbor 安全团队会对漏洞报告作出响应&＃xff0c;流程如下。

&＃xff08;1&＃xff09;安全团队将调查此漏洞并确定其影响和严重性。

&＃xff08;2&＃xff09;如果该问题不被视为漏洞&＃xff0c;则安全团队将提供详细的拒绝原因。

&＃xff08;3&＃xff09;安全团队将在3个工作日内与报告人进行联系。

&＃xff08;4&＃xff09;如果确认了漏洞及修复时间表&＃xff0c;安全团队则将制定计划与适当的社区进行沟通&＃xff0c;包括确定缓解的步骤&＃xff0c;受影响的用户可以通过这些步骤来保护自己&＃xff0c;直到修复程序发布为止。

&＃xff08;5&＃xff09;安全团队还将使用 CVSS&＃xff08;Common Vulnerability Scoring System&＃xff09;计算器创建一个CVSS。因为需要快速行动&＃xff0c;所以安全团队并不追求计算出完美的 CVSS。安全问题也可以使用此 CVSS 报告给 MITER 公司&＃xff0c;报告的 CVE&＃xff08;Common Vulnerabilities and Exposures&＃xff09;将被设置为私密状态。

&＃xff08;6&＃xff09;安全团队将修复漏洞并进行测试&＃xff0c;并为推出此修复程序做准备。

&＃xff08;7&＃xff09;安全团队将通过电子邮件向邮件组 cncf-harbor-distributors-announce &＃64; lists. cncf.io 进行该漏洞的早期披露。该邮件组的成员主要是 Harbor 软件发行商&＃xff0c;可以在漏洞公布和修复之前做出应急计划&＃xff0c;并且可以提前测试补丁并向 Harbor 团队提供反馈。

&＃xff08;8&＃xff09;漏洞的公开披露日期将由 Harbor 安全团队、漏洞提交者和发行商成员协商确定。安全团队希望在用户缓解措施或补丁可用的情况下&＃xff0c;尽快将漏洞完全公开披露。在尚不完全了解漏洞机理和修复方法、解决方案未经过充分测试或者发行商还未协调时&＃xff0c;漏洞披露会被适当延迟。漏洞披露的时限是从即刻开始&＃xff08;尤其是已经公开的情况&＃xff09;到几周内。对于有直接缓解措施的严重漏洞&＃xff0c;公开披露的时间大约是收到报告起的14个工作日。公开披露的时间点将由Harbor 安全团队全权负责决定。

&＃xff08;9&＃xff09;当修复方法确认后&＃xff0c;安全团队将在下一个补丁程序或次要版本中修补漏洞&＃xff0c;并将该补丁程序移植到所有受支持的早期版本中。发布修补过的 Harbor 版本后&＃xff0c;安全团队将遵循公开披露流程。

4&＃xff0e;公开披露流程

安全团队通过 GitHub 网站向 Harbor 社区发布公告。在大多数情况下&＃xff0c;安全团队还会通过 Slack、Twitter、CNCF 邮件组、博客和其他渠道进行通知&＃xff0c;以指导Harbor 用户了解漏洞并获得修补的版本。安全团队还将发布用户可以采取的缓解措施&＃xff0c;直到他们可以将补丁应用于其 Harbor 实例为止。Harbor 的分销商将自行创建和发布自己的安全公告。&＃xff08;本文为公众号&＃xff1a;亨利笔记 原创文章&＃xff09;

5&＃xff0e;提早接收漏洞信息的发行商

用户可通过 cncf-harbor-security &＃64; lists. cncf.io 向Harbor安全团队报告安全问题&＃xff0c;并在公开披露漏洞之前私下讨论安全问题和修复方法。

建议 Harbor 的发行商申请加入邮件组 cncf-harbor-distributors- announce &＃64; lists. cncf .io&＃xff0c;以获得早期非公开的漏洞通知&＃xff0c;包括缓解步骤和有关安全修补版本等信息。由于这个邮件组的特殊作用&＃xff0c;符合以下要求的发行商才有资格申请加入&＃xff1a;

◎成为现行的 Harbor 发行商。

◎Harbor 用户群体不局限于发行商内部。

◎有可公开验证的修复安全问题的记录。

◎不得成为其他发行商的下游厂商或产品重构者。

◎成为 Harbor 社区的参与者和积极贡献者。

◎接受禁运政策&＃xff08;Embargo Policy&＃xff09;。

◎有已经在邮件组中的成员担保申请人的参与资格。

6&＃xff0e;禁运政策

在邮件组 cncf-harbor- distributors-announce &＃64; lists. cncf.io 中收到的信息&＃xff0c;除非得到 Harbor 安全团队的许可&＃xff0c;成员不得在任何地方公开、共享或暗示&＃xff0c;并且在本组织中只能告知需要知道的人。在商定的公开披露时间之前&＃xff0c;需维持这样的保密状态。邮件组的成员除为自己发行版的用户解决问题外&＃xff0c;不能出于任何原因使用该信息。在与解决问题的团队成员共享邮件组中的信息之前&＃xff0c;必须让这些团队成员同意相同的条款&＃xff0c;并且把了解该信息的人员控制在最小的范围内。&＃xff08;本文为公众号&＃xff1a;亨利笔记 原创文章&＃xff09;

如果成员不慎把信息泄露到本政策允许的范围之外&＃xff0c;则必须立即将泄漏信息的内容及泄漏信息的对象紧急通知 cncf-harbor-security &＃64; lists. cncf.io 邮件组。如果成员持续泄漏信息并违反禁运策略&＃xff0c;则将会被从邮件组中永久删除。

如果需要申请加入邮件组&＃xff0c;则可发邮件到cncf-harbor-security &＃64; lists .cncf.io&＃xff0c;在邮件中说明本组织满足以上描述的“成员资格标准”。禁运政策的条款和条件适用于此邮件组的所有成员&＃xff0c;要求加入成员代表已接受了禁运政策的条款。

7&＃xff0e;机密性&＃xff0c;完整性和可用性

Harbor 安全团队最关注的问题是损害用户数据机密性和完整性的漏洞。系统可用性&＃xff0c;特别是与 DoS&＃xff08;拒绝服务攻击&＃xff09;和资源枯竭相关的问题&＃xff0c;也属于严重的安全问题。Harbor 安全团队会认真对待所有报告的漏洞、潜在漏洞和可疑漏洞&＃xff0c;并将以紧急和迅速的方式进行调查。

注意&＃xff1a;Harbor 的默认设置并不是安全设置。用户必须在 Harbor 中显式配置基于角色的访问控制及其他与资源相关的控制功能&＃xff0c;以加固 Harbor 的运行环境。对于使用默认值的安全披露&＃xff0c;安全小组将不采取任何行动。

《Harbor权威指南》目前当当网优惠中&＃xff0c;点击下图直接购买。

要想了解云原生、人工智能和区块链等技术原理&＃xff0c;请立即长按以下二维码&＃xff0c;关注本公众号亨利笔记 &＃xff08; henglibiji )&＃xff0c;以免错过更新。

欢迎转发、收藏以及点 “在看”和赞。