Istio 产品安全工作组
工作组概述
Istio 产品安全工作组(Product Security Working Group)成立于 2020 年 3 月,旨在识别、解决和预防 Istio 中的漏洞。其目标包括:
- 处理漏洞披露报告,并向社区和用户透明通报。
- 在 Istio 开发生命周期中提供新的安全指南。
- 确定 Istio 产品的安全威胁,如依赖项、附加组件和反模式,以推荐最佳安全实践。
工作组历史
- 早期由产品安全委员会(Product Security Committee)负责 CVE 修复,但协调困难。
- 2020 年 3 月成立产品安全工作组,以改进流程协调。
工作组成员
- 成员包括 TOC 代表(如 Google 的 Josh Blatt 和 Aspen Mesh 的 Neeraj Poddar)等 15 人。
- 代表公司包括 Aspen Mesh、Google、IBM、Invitae 和 Red Hat 等。
产品安全 vs 安全工作组
- 产品安全:关注 Istio 本身的安全,如修复漏洞和预防新问题。
- 安全:关注如何使用 Istio 功能来保护环境。
漏洞评分
- 使用 CVSS(Common Vulnerability Scoring System)评分系统,根据机密性、可用性、完整性和利用难度评分(0-10)。
- 评分越高,越容易利用。
漏洞处理目标
- 评估报告是否可复现、利用难度、控制平面和数据平面是否可利用。
漏洞处理流程
- 严重性评估:创建 CVSS 评分,并根据评分分配修复负责人。
- 组织修复:确定 SME、协调 embargo、找到测试和沟通负责人。
- 披露组织:通知早期披露列表和用户,并在 2 周内发布 CVE 补丁。
- 发布:构建版本、运行测试、发布到 istio.io 并披露 CVE。
- 事后分析:讨论流程改进,以提升未来 CVE 处理效率。
透明度措施
- 在多个渠道提前和发布漏洞修复信息。
- 提供 https://istio.io/latest/news/security/ 漏洞列表页面。
- 发布公共事后分析报告。
- 定期召开 Istio 社区产品安全会议。
主动措施
- 镜像漏洞扫描:使用 IBM 扫描器检查 Docker 镜像中的已知漏洞,确保发布前无漏洞。
- 第三方审计:进行 Istio 代码的第三方审计。
- 与 Envoy 安全团队合作:2/3 的 CVE 来自 Envoy,并共同负责披露。
- 依赖项集成:加强与其他依赖项的集成。
安全指南
- 提供 https://istio.io/latest/docs/ops/best-practices/security/ 安全部署指南,建议启用 mTLS、使用授权策略和禁用自动协议检测。
2021 年路线图
- 依赖项扫描:扫描过时代码依赖项。
- 代码扫描:在代码合并前扫描常见漏洞模式。
- 威胁建模:为 Istio 建立威胁模型,以更具体地评估和优先处理漏洞。
如何获取信息
- 加入早期披露列表:https://tinyurl.com/istioearlydisclosure
- 关注发布公告:RSS、Discuss、Twitter、Slack(即将推出 Google Group)
如何参与
- 参加每月社区会议:https://meet.google.com/vao-otzc-hvx
- 私密报告漏洞:istio-security-vulnerability-reports@googlegroups.com
如何处理安全 concern
- 遇到控制平面或数据平面崩溃、发现潜在漏洞、不确定漏洞影响或发现依赖项漏洞时,请联系 istio-security-vulnerability-reports@googlegroups.com。
数据统计
- 2020 年发布 11 个安全公告,涉及 17 个 CVE。
- 受支持的 Istio 版本:1.8 和 1.9。
