Knative 完成第三方安全审计 ¶
发布日期:2023-12-05, 修订日期:2024-01-17
Knative 完成第三方安全审计¶
作者:Adam Korczynski,Ada Logics 安全工程师
Knative 很高兴地宣布,由 Ada Logics 执行并由 开源技术改进基金 促进的第三方安全审计已完成。这是 Knative 在短短几个月内完成的第二次第三方安全审计。今年 7 月,Knative 完成了由 Ada Logics 执行的模糊测试安全审计。模糊测试安全审计侧重于以自动化方式改进 Knative 的模糊测试状态,而今天,Knative 完成的审计则侧重于威胁建模、手动代码审计和供应链风险评估。
在审计期间,Ada Logics 与 Knative 团队保持密切沟通,并在审计进行过程中实时分享发现结果。Knative 团队和 Ada Logics 共同协作,对发现的问题进行缓解和修复。
审计主要集中在三个核心 Knative 子项目上:Eventing、Serving 和 Pkg,并略微关注 Knative Extensions、Knative Func 和 Security-Guard。
Knative Extensions 是针对不同 Knative 用例的可选插件和扩展。例如,用户可以找到针对 Knative Eventing 的不同官方维护的集成,Security-Guard 项目也位于 Knative Extensions 中。许多 Knative Extensions 子项目尚未完全成熟,其中许多处于 Alpha 和 Beta 版本状态。
Ada Logics 发现了 16 个安全问题,其中除一个问题外,所有问题都已通过上游补丁修复。其中三个发现的问题存在于 Knative 的第三方依赖项中。发现的一个问题因其潜在影响(ADA-KNATIVE-23-7)被评为高严重性。但是,攻击者需要破坏 Knative 用户的供应链,这在现实场景中极不可能发生,因为很少有 Knative 用户以允许攻击的方式使用 Knative。此外,攻击者需要非常精确地安排攻击时间。问题已得到修复。
在审计期间,为一个漏洞分配了一个 CVE,该漏洞可能允许拥有已提升权限的攻击者在集群中造成进一步的损害。攻击者需要首先在 Knative pod 中建立一个位置,然后利用该漏洞并导致 Knative 自动伸缩服务拒绝服务,从而阻止对 Knative 的任何自动伸缩。该问题被分配了中等严重性的 CVE-2023-48713,并在 v1.12.0、v1.11.3 和 v1.10.5 中得到修复。
在审计之前,Knative 已投入资源构建自己的 来源生成器,该生成器生成符合 slsa 的来源并将其添加到版本中。用户可以在使用 官方 SLSA 指南 消费之前验证来源。Knative 维护人员发现,Knative Serving 缺少几行 Prow 配置,导致 Knative Serving 版本没有来源。这已通过 此处 修复,这确保了 Knative Serving 的未来版本将包含可验证的来源。
Knative 感谢 Ada Logics 执行安全审计,感谢 OSTIF 促进审计,以及感谢 CNCF 为审计提供资金。
Knative 是一个鼓励社区贡献的开源项目。如果您想为 Knative 的持续安全工作做出贡献,我们建议您通读报告,特别是战略建议和 SAST 工具部分,这两部分都包含针对 Knative 安全态势的实用建议。如果您有任何问题、意见或建议,您可以 通过多种方式与社区互动。