Knative 安全性和揭露資訊¶
此頁面描述 Knative 安全性和揭露資訊。
Knative 威脅模型¶
程式碼簽章驗證¶
所有平台¶
我們從 1.9 版開始的發行版本會使用 cosign 進行簽署。您可以使用以下步驟來驗證我們的二進位檔。
- 從發行頁面下載您想要的檔案,以及
checksums.txt、checksum.txt.pem和checksums.txt.sig檔案# this example verifies the 1.10.0 kn cli from the knative/client repository wget https://github.com/knative/client/releases/download/knative-v1.10.0/checksums.txt wget https://github.com/knative/client/releases/download/knative-v1.10.0/kn-darwin-amd64 wget https://github.com/knative/client/releases/download/knative-v1.10.0/checksums.txt.sig wget https://github.com/knative/client/releases/download/knative-v1.10.0/checksums.txt.pem - 驗證簽章
cosign verify-blob \ --certificate-identity=signer@knative-releases.iam.gserviceaccount.com \ --certificate-oidc-issuer=https://127.0.0.1 \ --cert checksums.txt.pem \ --signature checksums.txt.sig \ checksums.txt - 如果簽章有效,您可以接著驗證 SHA256 總和是否與下載的二進位檔相符
sha256sum --ignore-missing -c checksums.txt
注意
Knative 映像檔會在 KEYLESS 模式中簽署。若要深入了解無金鑰簽署,請參閱 無金鑰簽章。我們發行版本的簽署身分 (主旨) 為 signer@knative-releases.iam.gserviceaccount.com,發行者為 https://127.0.0.1
Apple macOS¶
除了使用 cosign 簽署我們的二進位檔外,我們也會 公證 我們的 macOS 二進位檔。您可以使用 codesign 公用程式來驗證我們 1.9 版開始的二進位檔。您應該會看到類似以下的輸出。預期的 TeamIdentifier 是 7R64489VHL
codesign --verify -d --verbose=2 ~/Downloads/kn-quickstart-darwin-amd64
Executable=/Users/REDACTED/Downloads/kn-quickstart-darwin-amd64
Identifier=kn-quickstart-darwin-amd64
...
Authority=Developer ID Application: Mahamed Ali (7R64489VHL)
Authority=Developer ID Certification Authority
Authority=Apple Root CA
Timestamp=3 Oct 2022 at 22:50:07
...
TeamIdentifier=7R64489VHL
回報漏洞¶
我們非常感謝回報 Knative 開放原始碼社群漏洞的安全性研究人員和使用者。所有回報都會由一組社群志願者徹底調查。
若要回報,請將包含安全性詳細資訊和所有 Knative 錯誤回報所需詳細資訊的電子郵件傳送到私人的 security@knative.team 清單。
我應該在何時回報漏洞?¶
- 您認為您在 Knative 中發現了潛在的安全性漏洞
- 您不確定漏洞如何影響 Knative
- 您認為您在 Knative 依賴的其他專案中發現了漏洞
- 對於有自己的漏洞回報和揭露流程的專案,請直接在該處回報
我不應該在何時回報漏洞?¶
- 您需要協助調整 Knative 元件的安全性
- 您需要協助套用安全性相關更新
- 您的問題與安全性無關