ITPub博客

首页 > 应用开发 > IT综合 > Harbor用户必读:安全告警和响应机制

Harbor用户必读:安全告警和响应机制

原创 IT综合 作者:亨利笔记 时间:2021-02-01 09:10:26 0 删除 编辑

题图摄于巴塞罗那港


注:微信公众号不按照时间排序,请关注“亨利笔记”,并加星标以置顶,以免错过更新。


在生产系统中使用 Harbor 的用户,需要及时了解各种发现的 Harbor 安全漏洞或者问题,并采取必要的反馈、确认和修补措施。本文介绍如何接收安全漏洞的告警通知、如何汇报可能的安全问题,并且采取适当的响应策略。建议用户收藏本文。


本文节选自《Harbor权威指南》一书。目前当当网优惠中,点击下图直接购买。




Harbor 是首个中国原创的 CNCF 毕业(Graduated)级别项目,意味着 Harbor 的成熟度已经被大多数用户接受,在生产环境下有非常多的部署和应用。和所有的软件项目一样,Harbor 可能会出现一些安全问题。尽管 Harbor 项目在申请毕业时经过了安全性审计(Security Audit)并且修复了发现的问题,但是作为一个大型开源社区,Harbor 项目制定并采用了安全披露和响应策略,以确保在出现安全方面的问题时,维护者可以快速地处理和响应。


Harbor 的用户或厂商应当紧密关注 Harbor 的安全公告和安全补丁,及时给所运行的 Harbor 系统升级或安装补丁程序。如果发现安全问题,则应当及时报告Harbor 安全团队,以便确认和提供修复补丁。Harbor 的发行商还可以申请加入安全问题通知邮件组。(注:微信公众号不按照时间排序,请关注“亨利笔记”,并加星标以置顶,以免错过更新。)


1.支持的版本


Harbor 社区维护着最后发布的三个次级版本。如最新版本是 2.0.x 时,社区维护的版本是 1.9.x、1.10.x 和 2.0.x,当出现安全问题时,会根据严重性和可行性将适用的安全补丁程序移植到这三个版本上。为了获得安全补丁程序,建议用户采用在维护范围内的版本。如果用户目前运行的版本较旧,则会有潜在的安全风险,而且 Harbor 团队可能不提供修复方案,因此最好把版本升级。(本文为公众号:亨利笔记 原创文章)


2.报告安全漏洞的私下披露流程


系统的安全性是用户最需要关注事情之一,当用户发现安全漏洞或疑似安全漏洞时,都应私下报告给 Harbor 项目维护者,这样可以在漏洞修复前最大限度地减少 Harbor 用户受到的攻击。维护者将尽快调查漏洞,并在下一个补丁程序(或次要版本)中进行修补。漏洞的信息可以完全保留在项目内部来处理。

当用户有下列情形之一时,可以报告漏洞。


◎认为 Harbor 有潜在的安全漏洞。

◎怀疑潜在的漏洞,但不确定它是否会影响 Harbor。

◎知道或怀疑 Harbor 使用的另一个项目有潜在漏洞,如 Docker Distribution、PostgreSQL、Redis、Notary、Clair、Trivy 等。


要报告漏洞或与安全相关的问题,用户可通过电子邮件向 cncf-harbor-security @  lists. cncf.io 发送有关漏洞的详细信息,该电子邮件会被由维护者组成的 Harbor 安全团队接收。电子邮件将在3个工作日内得到处理,包括调查该问题的详细计划及可以变通的方法。如果发现一个有关 Harbor 的安全漏洞被公开披露,则请立即发送电子邮件至cncf-harbor-security @ lists. cncf.io 来联系 Harbor 的安全团队。


重要提示:出于对用户社区的保护,不要在 GitHub 或其他公开媒体上发布关于安全漏洞的问题。


发送的电子邮件需提供描述性邮件标题,电子邮件正文中包含以下信息。


◎ 基本身份信息,如汇报人的姓名、所属单位或公司。

◎ 重现此漏洞的详细步骤(可包括 POC 脚本,屏幕截图和抓包数据等)。

◎ 描述此漏洞对 Harbor 的影响及相关的硬件和软件配置,以便 Harbor 安全团队可以重现此漏洞。

◎ 如果有可能,则描述漏洞如何影响 Harbor 的使用及对攻击面的估计。

◎ 列出与 Harbor 一起使用以产生漏洞的其他项目或依赖项。


3.补丁、版本和披露报告


在收到漏洞报告之后,Harbor 安全团队会对漏洞报告作出响应,流程如下。


(1)安全团队将调查此漏洞并确定其影响和严重性。

(2)如果该问题不被视为漏洞,则安全团队将提供详细的拒绝原因。

(3)安全团队将在3个工作日内与报告人进行联系。

(4)如果确认了漏洞及修复时间表,安全团队则将制定计划与适当的社区进行沟通,包括确定缓解的步骤,受影响的用户可以通过这些步骤来保护自己,直到修复程序发布为止。

(5)安全团队还将使用 CVSS(Common Vulnerability Scoring System)计算器创建一个CVSS。因为需要快速行动,所以安全团队并不追求计算出完美的 CVSS。安全问题也可以使用此 CVSS 报告给 MITER 公司,报告的 CVE(Common Vulnerabilities and Exposures)将被设置为私密状态。

(6)安全团队将修复漏洞并进行测试,并为推出此修复程序做准备。

(7)安全团队将通过电子邮件向邮件组 cncf-harbor-distributors-announce @ lists. cncf.io 进行该漏洞的早期披露。该邮件组的成员主要是 Harbor 软件发行商,可以在漏洞公布和修复之前做出应急计划,并且可以提前测试补丁并向 Harbor 团队提供反馈。

(8)漏洞的公开披露日期将由 Harbor 安全团队、漏洞提交者和发行商成员协商确定。安全团队希望在用户缓解措施或补丁可用的情况下,尽快将漏洞完全公开披露。在尚不完全了解漏洞机理和修复方法、解决方案未经过充分测试或者发行商还未协调时,漏洞披露会被适当延迟。漏洞披露的时限是从即刻开始(尤其是已经公开的情况)到几周内。对于有直接缓解措施的严重漏洞,公开披露的时间大约是收到报告起的14个工作日。公开披露的时间点将由Harbor 安全团队全权负责决定。

(9)当修复方法确认后,安全团队将在下一个补丁程序或次要版本中修补漏洞,并将该补丁程序移植到所有受支持的早期版本中。发布修补过的 Harbor 版本后,安全团队将遵循公开披露流程。


4.公开披露流程


安全团队通过 GitHub 网站向 Harbor 社区发布公告。在大多数情况下,安全团队还会通过 Slack、Twitter、CNCF 邮件组、博客和其他渠道进行通知,以指导Harbor 用户了解漏洞并获得修补的版本。安全团队还将发布用户可以采取的缓解措施,直到他们可以将补丁应用于其 Harbor 实例为止。Harbor 的分销商将自行创建和发布自己的安全公告。(本文为公众号:亨利笔记 原创文章)


5.提早接收漏洞信息的发行商


用户可通过 cncf-harbor-security @ lists. cncf.io 向Harbor安全团队报告安全问题,并在公开披露漏洞之前私下讨论安全问题和修复方法。


建议 Harbor 的发行商申请加入邮件组 cncf-harbor-distributors- announce @ lists. cncf .io,以获得早期非公开的漏洞通知,包括缓解步骤和有关安全修补版本等信息。由于这个邮件组的特殊作用,符合以下要求的发行商才有资格申请加入:


◎成为现行的 Harbor 发行商。

◎Harbor 用户群体不局限于发行商内部。

◎有可公开验证的修复安全问题的记录。

◎不得成为其他发行商的下游厂商或产品重构者。

◎成为 Harbor 社区的参与者和积极贡献者。

◎接受禁运政策(Embargo Policy)。

◎有已经在邮件组中的成员担保申请人的参与资格。


6.禁运政策


在邮件组 cncf-harbor- distributors-announce @ lists. cncf.io 中收到的信息,除非得到 Harbor 安全团队的许可,成员不得在任何地方公开、共享或暗示,并且在本组织中只能告知需要知道的人。在商定的公开披露时间之前,需维持这样的保密状态。邮件组的成员除为自己发行版的用户解决问题外,不能出于任何原因使用该信息。在与解决问题的团队成员共享邮件组中的信息之前,必须让这些团队成员同意相同的条款,并且把了解该信息的人员控制在最小的范围内。(本文为公众号:亨利笔记 原创文章)


如果成员不慎把信息泄露到本政策允许的范围之外,则必须立即将泄漏信息的内容及泄漏信息的对象紧急通知 cncf-harbor-security @ lists. cncf.io 邮件组。如果成员持续泄漏信息并违反禁运策略,则将会被从邮件组中永久删除。


如果需要申请加入邮件组,则可发邮件到cncf-harbor-security @ lists .cncf.io,在邮件中说明本组织满足以上描述的“成员资格标准”。禁运政策的条款和条件适用于此邮件组的所有成员,要求加入成员代表已接受了禁运政策的条款。


7.机密性,完整性和可用性


Harbor 安全团队最关注的问题是损害用户数据机密性和完整性的漏洞。系统可用性,特别是与 DoS(拒绝服务攻击)和资源枯竭相关的问题,也属于严重的安全问题。Harbor 安全团队会认真对待所有报告的漏洞、潜在漏洞和可疑漏洞,并将以紧急和迅速的方式进行调查。


注意:Harbor 的默认设置并不是安全设置。用户必须在 Harbor 中显式配置基于角色的访问控制及其他与资源相关的控制功能,以加固 Harbor 的运行环境。对于使用默认值的安全披露,安全小组将不采取任何行动。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/31557890/viewspace-2754930/,如需转载,请注明出处,否则将追究法律责任。

下一篇: 没有了~
请登录后发表评论 登录
全部评论

注册时间:2018-10-12

  • 博文量
    10
  • 访问量
    5166