Istioセキュリティリリースの処理方法の更新：パッチチューズデー、エンバーゴ、およびゼロデイ脆弱性

Istio製品セキュリティワーキンググループの作業のほとんどは水面下で行われていますが、セキュリティリリースに関する期待値の設定においては、コミュニティの声に耳を傾けています。メッシュ管理者、運用担当者、ベンダーにとって、セキュリティ情報とセキュリティリリースを把握することは難しいことを理解しています。

現在、脆弱性とセキュリティリリースは、以下の複数のチャネルを通じて開示しています。

• istio.io のリリースアナウンスおよびセキュリティ情報ページ
• ディスカッション
• Slackのアナウンスメントチャンネル
• Twitter
• RSS

ソフトウェアを運用する際には、アップグレード時のダウンタイムの可能性を考慮しておくことが望ましいです。Istioコミュニティが2021年にDay 2運用に関して行っている作業を考慮すると、環境ワーキンググループは、ユーザーが経験してきた多くのアップグレードの問題を合理化する上で優れた仕事をしてきました。製品セキュリティワーキンググループは、ユーザーがアップグレード操作を事前に計画できるように、定期的なセキュリティリリース日を設定することで、Day 2運用を支援することを目指しています。

パッチチューズデー

製品セキュリティワーキンググループは、毎月第2火曜日にセキュリティリリースを提供することを目指しています。これらのセキュリティリリースには、複数のCVEの修正が含まれる場合があります。製品セキュリティワーキンググループは、これらのセキュリティリリースに他の修正を含めないようにすることを意図していますが、常に可能とは限りません。

製品セキュリティワーキンググループが今後のセキュリティパッチを提供する予定がある場合は、リリースの2週間前にIstioディスカッションボードで発表されます。本番環境でIstioを実行している場合は、アナウンスカテゴリをウォッチして、そのようなリリースの通知を受けることをお勧めします。そのような発表がない場合、以下に記載されている例外を除き、その月のセキュリティリリースはありません。

最初のパッチチューズデー

Istio 1.9.5、およびIstio 1.8の最終リリースである1.8.6は、このパターンに適合する最初のセキュリティリリースであることを発表します。Istio 1.10がまもなくリリースされるため、6月にもこの新しい伝統を継続する予定です。

これらのリリースでは、3つのCVEが修正されています。修正された特定のCVEに関する情報は、リリースページをご覧ください。

予定外のセキュリティリリース

ゼロデイ脆弱性

残念ながら、ゼロデイ脆弱性は計画できません。開示されると、製品セキュリティワーキンググループは帯域外のセキュリティリリースを発行する必要があります。上記の方法を使用して、そのような問題が開示されますので、少なくとも1つを使用して、そのような開示の通知を受けるようにしてください。

サードパーティのエンバーゴ

ゼロデイ脆弱性と同様に、セキュリティリリースは、サードパーティのエンバーゴ、つまりEnvoyによって決定される場合があります。この場合、Istioはエンバーゴが解除されたら、即日パッチをリリースします。

セキュリティのベストプラクティス

Istioセキュリティのベストプラクティスは、過去数か月で多くの改善が見られました。最近のセキュリティ情報の多くは、セキュリティのベストプラクティスページで説明されている方法を使用することで軽減できるため、定期的に確認することをお勧めします。

早期開示リスト

基準を満たしてIstio早期開示リストに参加する場合は、メンバーシップを申請してください。今後のセキュリティリリースのパッチは、Istioのパッチチューズデーの約2週間前に早期開示リストで利用可能になります。

今後のIstioセキュリティリリースでEnvoyのパッチも必要になる場合があります。Envoyのパッチは、エンバーゴのため再配布できません。Envoyのガイダンスを参照して、早期開示リストへの参加方法をご確認ください。

セキュリティに関するフィードバック

製品セキュリティワーキンググループは、火曜日の午前9時から9時30分（太平洋時間）に隔週で会議を開催しています。詳細については、Istioワーキンググループカレンダーをご覧ください。

次回の公開会議は、2021年5月25日に開催されます。ぜひご参加ください！