Knative 完成第三方安全審計 ¶
發佈於:2023-12-05 , 修訂於:2024-01-17
Knative 完成第三方安全審計¶
作者:Adam Korczynski,Ada Logics 的安全工程師
Knative 很樂意宣佈完成由 Ada Logics 執行並由 開放原始碼技術改進基金 促成的第三方安全審計。這是在短短幾個月內,Knative 的第二次第三方安全審計。今年 7 月,Knative 完成了同樣由 Ada Logics 執行的模糊測試安全審計。雖然模糊測試安全審計的重點是以自動化的方式改善 Knative 的模糊測試狀態,但今天 Knative 完成的審計重點是威脅建模、人工程式碼審計和供應鏈風險評估。
在審計期間,Ada Logics 與 Knative 團隊保持密切溝通,並在審計進展過程中臨時分享發現的結果。Knative 團隊和 Ada Logics 合作解決了發現的問題並進行修復。
審計主要集中在三個核心 Knative 子專案:Eventing、Serving 和 Pkg,並稍微關注 Knative Extensions、Knative Func 和 Security-Guard。
Knative Extensions 是適用於不同 Knative 用例的可選外掛程式和擴充功能。例如,使用者可以找到針對 Knative Eventing 的不同官方維護整合,而 Security-Guard 專案也位於 Knative Extensions 中。許多 Knative Extensions 子專案尚未完全成熟,許多都處於 Alpha 和 Beta 發佈狀態。
Ada Logics 發現了 16 個安全問題,其中除了 1 個以外,其餘的都已透過上游修補程式修復。三個發現的問題存在於 Knative 的第三方依賴項中。其中一個發現的問題由於其潛在影響而被評為高嚴重性 (ADA-KNATIVE-23-7)。然而,攻擊者需要危害 Knative 使用者的供應鏈,這在現實世界中不太可能發生,因為很少有 Knative 使用者會以能夠進行攻擊的方式使用 Knative。此外,攻擊者需要將攻擊時間精確到很高程度。此問題已修復。
在審計期間,針對一個漏洞分配了一個 CVE,該漏洞可能允許已經取得提升權限的攻擊者在叢集中造成進一步的損害。攻擊者需要先在 Knative Pod 中建立據點,然後才能從那裡利用此漏洞,導致 Knative 自動擴展服務中斷,從而拒絕 Knative 的任何自動擴展。此問題被分配為中等嚴重性的 CVE-2023-48713,並已在 v1.12.0、v1.11.3 和 v1.10.5 中修復。
在審計之前,Knative 已投入建立自己的 出處產生器,該產生器會產生符合 slsa 的出處,並將其新增至版本中。使用者可以使用 官方 SLSA 指南 在使用前驗證出處。Knative 維護人員發現 Knative Serving 缺少幾行 Prow 設定,導致 Knative Serving 版本沒有出處。這已在 此處 修復,這確保 Knative Serving 的未來版本將包含可驗證的出處。
Knative 感謝 Ada Logics 進行安全審計、OSTIF 提供協助,以及 CNCF 資助審計。
Knative 是一個鼓勵社群貢獻的開放原始碼專案。如果您希望為 Knative 的持續安全工作做出貢獻,我們建議您閱讀報告,尤其是策略建議和 SAST 工具部分,這兩部分都包含針對 Knative 安全態勢的實用建議。如果您有任何問題、意見或建議,可以透過多種方式與社群互動。