セキュリティ脆弱性

 4 分で読めます  

Istioのセキュリティ脆弱性を報告してくださるセキュリティ研究者やユーザーの皆様に心から感謝申し上げます。すべての報告を徹底的に調査します。

脆弱性の報告

報告を行うには、脆弱性の詳細を記載したメールを非公開のistio-security-vulnerability-reports@googlegroups.comメーリングリスト宛に送信してください。潜在的なセキュリティ脆弱性とは無関係の通常の製品バグについては、バグの報告ページで対応方法をご確認ください。

セキュリティ脆弱性を報告すべき場合

以下のような場合は、報告をお送りください。

  • Istioに潜在的なセキュリティ脆弱性があると思われる場合。
  • 脆弱性がIstioにどのように影響するか、または影響があるかどうか不明な場合。
  • Istioが依存している他のプロジェクト(例:Envoy、Docker、Kubernetes)に脆弱性が存在すると考えられる場合。

不明な場合は、非公開で開示してください。これには以下が含まれますが、これらに限定されません。

  • 特にEnvoyでのクラッシュ
  • セキュリティポリシー(認証または承認など)のバイパスまたは脆弱性
  • 潜在的なサービス拒否(DoS)

セキュリティ脆弱性を報告すべきでない場合

以下のような場合は、脆弱性レポートを送信しないでください。

  • Istioコンポーネントのセキュリティ調整に関するヘルプが必要な場合。
  • セキュリティ関連の更新の適用に関するヘルプが必要な場合。
  • 問題がセキュリティに関連していない場合。
  • 問題がベースイメージの依存関係に関連する場合(ベースイメージを参照)。

評価

Istioセキュリティチームは、脆弱性に関する各報告を3営業日以内に確認し、分析します。

Istioセキュリティチームと共有された脆弱性情報は、Istioプロジェクト内にとどまります。他のプロジェクトに情報を広めることはありません。問題の修正に必要な場合にのみ、情報を共有します。

セキュリティ問題の状態が、triaged(トリアージ済み)からidentified fix(修正特定済み)、そしてrelease planning(リリース計画中)へと進むにつれて、報告者に最新情報を提供します。

問題の修正

セキュリティ脆弱性が完全に特定されると、Istioチームによって修正が開発されます。脆弱性の早期開示を防ぐため、修正の開発とテストはプライベートなGitHubリポジトリで行われます。

早期開示

Istioプロジェクトは、セキュリティ脆弱性の早期非公開情報のためのメーリングリストを管理しています。このリストは、Istioのパートナーに実行可能な情報を提供するために使用されます。このリストは、個人がセキュリティ問題を知るために利用されるものではありません。

詳細については、セキュリティ脆弱性の早期開示を参照してください。

公開開示

公開のために選択された日には、一連のアクティビティが可能な限り迅速に行われます。

  • 修正を含むプライベートなGitHubリポジトリから、変更が適切な公開ブランチセットにマージされます。

  • リリースエンジニアは、必要なすべてのバイナリが迅速にビルドおよび公開されるようにします。

  • バイナリが利用可能になると、以下のチャネルでアナウンスが送信されます。

このアナウンスは可能な限り実用的であり、固定バージョンにアップグレードする前に顧客が実施できる軽減策が含まれます。これらのアナウンスの推奨ターゲット時間は、月曜日から木曜日の16:00 UTCです。これは、太平洋時間では午前、ヨーロッパでは夕方早く、アジアでは夜遅くにアナウンスが表示されることを意味します。

ベースイメージ

Istioは、ubuntuベース(デフォルト)とdistrolessベース(Dockerコンテナイメージの強化を参照)の2つのDockerイメージセットを提供しています。これらのベースイメージには、CVEが含まれることがあります。Istioセキュリティチームは、ベースイメージにCVEがないことを確認するために、自動スキャンを行っています。

イメージ内でCVEが検出されると、新しいイメージが自動的にビルドされ、今後のすべてのビルドに使用されます。さらに、セキュリティチームは、脆弱性がIstio内で直接悪用可能かどうかを分析します。ほとんどの場合、これらの脆弱性はベースイメージ内のパッケージに存在する可能性がありますが、Istioでの使用方法では悪用できません。このような場合、これらのCVEを解決するためだけに新しいリリースが公開されることは通常なく、修正は次の定期リリースに含まれます。

したがって、ベースイメージのCVEがIstio内で悪用される可能性があるという証拠がない限り、報告すべきではありません。

ベースイメージのCVEを削減することが重要な場合は、distrolessベースイメージを強く推奨します。

この情報は役に立ちましたか?
改善のための提案はありますか?

フィードバックありがとうございます!