Knative 安全和披露信息¶
本页描述 Knative 安全和披露信息。
Knative 威胁模型¶
代码签名验证¶
所有平台¶
我们从 1.9 开始的版本使用 cosign 进行签名。您可以使用以下步骤验证我们的二进制文件。
- 从发布页面下载您想要的文件,以及
checksums.txt、checksum.txt.pem和checksums.txt.sig文件# this example verifies the 1.10.0 kn cli from the knative/client repository wget https://github.com/knative/client/releases/download/knative-v1.10.0/checksums.txt wget https://github.com/knative/client/releases/download/knative-v1.10.0/kn-darwin-amd64 wget https://github.com/knative/client/releases/download/knative-v1.10.0/checksums.txt.sig wget https://github.com/knative/client/releases/download/knative-v1.10.0/checksums.txt.pem - 验证签名
cosign verify-blob \ --certificate-identity=signer@knative-releases.iam.gserviceaccount.com \ --certificate-oidc-issuer=https://127.0.0.1 \ --cert checksums.txt.pem \ --signature checksums.txt.sig \ checksums.txt - 如果签名有效,则可以验证 SHA256 校验和是否与下载的二进制文件匹配
sha256sum --ignore-missing -c checksums.txt
注意
Knative 镜像以 KEYLESS 模式签名。要详细了解无密钥签名,请参阅 无密钥签名 我们版本签署身份(主体)是 signer@knative-releases.iam.gserviceaccount.com,发行者是 https://127.0.0.1
Apple macOS¶
除了使用 cosign 对二进制文件进行签名之外,我们还对 macOS 二进制文件进行了 公证。您可以使用 codesign 工具验证我们从 1.9 版本开始的二进制文件。您应该会看到类似于此的输出。预期的 TeamIdentifier 是 7R64489VHL
codesign --verify -d --verbose=2 ~/Downloads/kn-quickstart-darwin-amd64
Executable=/Users/REDACTED/Downloads/kn-quickstart-darwin-amd64
Identifier=kn-quickstart-darwin-amd64
...
Authority=Developer ID Application: Mahamed Ali (7R64489VHL)
Authority=Developer ID Certification Authority
Authority=Apple Root CA
Timestamp=3 Oct 2022 at 22:50:07
...
TeamIdentifier=7R64489VHL
报告漏洞¶
我们非常感谢安全研究人员和用户向 Knative 开源社区报告漏洞。所有报告都会由社区志愿者进行彻底调查。
要进行报告,请发送电子邮件到私人的 security@knative.team 列表,其中包含安全详细信息以及所有 Knative 错误报告所需的详细信息。
何时应该报告漏洞?¶
- 您认为您在 Knative 中发现了潜在的安全漏洞
- 您不确定漏洞如何影响 Knative
- 您认为您在 Knative 依赖的另一个项目中发现了漏洞
- 对于有自己的漏洞报告和披露流程的项目,请直接在该项目中报告
何时不应该报告漏洞?¶
- 您需要帮助调整 Knative 组件以提高安全性
- 您需要帮助应用与安全相关的更新
- 您的问题与安全无关