Процесс выпуска безопасности

Harbor — это быстро растущее сообщество, которое стремится создать частый корпоративный реестр для всех ваших облачных активов. Сообщество приняло эту политику раскрытия и ответа на обеспечение того, чтобы мы ответственно решали критические проблемы.

Поддерживаемые версии

Проект Harbor поддерживает ветки выпусков для трёх последних минорных выпусков. Дополнительные исправления, включая исправления безопасности, могут быть обратнопортлены в эти три ветки выпусков в зависимости от серьёзности и осуществимости. Для подробностей смотрите RELEASES.md.

Отчёт о уязвимости — процесс конфиденциального раскрытия

Безопасность имеет первостепенное значение, и все уязвимости безопасности или подозрения о них должны быть сообщены Harbour конфиденциально, чтобы минимизировать атаки против текущих пользователей Harbour до их устранения. Уязвимости будут расследованы и исправлены как можно скорее в следующем патче (или минорном) выпуске. Эта информация может быть полностью внутренней для проекта.

Если вы знаете о публично раскрытой уязвимости безопасности для Harbour, пожалуйста, немедленно свяжитесь с cncf-harbor-security@lists.cncf.io, чтобы известить команду безопасности Harbour.ВАЖНО: Не создавайте открытые проблемы на GitHub для уязвимостей безопасности

Чтобы сообщить о уязвимости или проблеме, связанной с безопасностью, пожалуйста, отправьте электронное письмо на конфиденциальный адрес cncf-harbor-security@lists.cncf.io со всеми деталями уязвимости. Электронное письмо будет обработано командой безопасности Harbour, которая состоит из поддерживателей Harbour, имеющих права коммитера и выпуска. Ответы будут даны в течение Yöntem 3 рабочих дня, включая подробный план расследования проблемы и любых потенциальных временных мер для решения проблемы. Не сообщайте о багах, не влияющих на безопасность, через этот канал. Вместо этого используйте Problems на GitHub.

Предлагаемое содержание письма

Укажите описательную тему письма и в теле сообщения включите следующую информацию:

• Основная информация о вашей личности, такая как ваше имя и ваша принадлежность или компания.
• Подробные шаги воспроизведения уязвимости (скрипты POC, скриншоты и сжатые захваченные пакеты полезны для нас).
• Описание последствий уязвимости для Harbor и связанных аппаратных и программных конфигураций, чтобы команда безопасности Harbor могла воспроизвести её.
• Как уязвимость влияет на использование Harbor и оценка атакуемой поверхности, если она существует.
• Список других проектов или зависимостей, использованных вместе с Harbor для создания уязвимости.## Когда следует сообщить о уязвимости
• Когда вы считаете, что Harbor имеет потенциальную уязвимость безопасности.
• Когда вы подозреваете потенциальную уязвимость, но не уверены, что она затрагивает Harbor.
• Когда вы знаете или подозреваете потенциальную уязвимость другого проекта, используемого Harbour. Например, Harbour зависит от Docker, PostgreSQL, Redis, Notary, Clair и т.д.## Устранение уязвимостей, выпуск и раскрытие информации Команда безопасности Harbour будет реагировать на сообщения о уязвимостях следующим образом:

1. Комната безопасности расследует уязвимость и определяет ее последствия и критичность.

2. Если проблема не признается уязвимостью, команда безопасности обратится с подробной причиной отказа.

3. Команда безопасности начнет диалог с заявителем в течение трех рабочих дней.

4. Если уязвимость признана и определен временный план исправления, команда безопасности будет работать над планом коммуникации с соответствующим сообществом, включая определение мер защиты, которые могут применяться пользователями до выпуска исправления.

5. Команда безопасности также создаст оценку CVSS с помощью калькулятора CVSS. Команда безопасности принимает окончательное решение по рассчитанному CVSS; лучше действовать быстро, чем сделать CVSS идеальной. Проблемы также можно сообщить Mitre с помощью этого калькулятора оценки. Начальное значение CVE будет установлено как приватное.

6. Команда безопасности будет работать над устранением уязвимости и проведет внутренние тестирования перед подготовкой к выпуску исправления.Команда безопасности предоставит раннее раскрытие уязвимости путём отправки электронной почты на рассылку cncf-harbor-distributors-announce@lists.cncf.io. Распространители могут вначале планировать исправление уязвимости до выхода исправления, а затем тестировать исправление и предоставлять обратную связь команде Harbor. См. раздел Раннее раскрытие для списка распространителей Harbor для получения подробностей о том, как присоединиться к этой рассылке.8. Дата публичного раскрытия согласуется между командой безопасности Harbor, отправителем баг-репорта и списком распространителей. Мы предпочитаем полностью раскрывать информацию о баге как можно скорее после того, как становится доступна мера по смягчению последствий или исправление. Причины для отсрочки раскрытия могут заключаться в недостаточном понимании бага или его исправления, недостаточной проверке решения или необходимости координации среди распространителей. Временной рамкой для раскрытия является период от немедленного (особенно если информация уже известна публично) до нескольких недель. Для критической уязвимости с простым механизмом смягчения последствий мы ожидаем, что срок между датой выявления проблемы и датой публичного раскрытия будет составлять около 14 рабочих дней. Крайней датой для установления публичной даты раскрытия является решение команды безопасности Harbor.

7. После подтверждения исправления команда безопасности примет меры по устранению уязвимости в следующем выпуске исправления или небольшого обновления, а также вернет исправление во все ранее поддерживаемые выпуски. По выходу исправленной версии Harbor мы будем следовать процессу Публичного раскрытия информации.### Процесс публичного раскрытия информацииКоманда безопасности публикует публичное 諮告 сообщество Harbor через GitHub. В большинстве случаев дополнительная коммуникация через Slack, Twitter, списки CNCF, блоги и другие каналы помогает просвещению пользователей Harbor и распространению исправленной версии среди затронутых пользователей.

Команда безопасности также будет публиковать любые шаги по смягчению последствий до применения исправлений в экземплярах Harbor пользователей. Распространители Harbor будут отвечать за создание и публикацию своих собственных консультаций по безопасности.

Почтовые рассылки

• Используйте cncf-harbor-security@lists.cncf.io для отправки сообщений о проблемах безопасности команде безопасности Harbor, которая использует этот список для закрытого обсуждения вопросов безопасности и исправлений перед публичным объявлением.
• Присоединитесь к cncf-harbor-distributors-announce@lists.cncf.io для получения ранней частной информации и раскрытия уязвимостей. Раннее раскрытие может включать меры по смягчению последствий и дополнительную информацию о выпусках исправлений безопасности. Подробнее см. ниже.

Раннее раскрытие списка распространителей Harbor

Этот закрытый список предназначен главным образом для предоставления действенной информации сразу нескольким проектам-распространителям. Этот список не предназначен для информирования отдельных лиц о проблемах безопасности.### Критерии членства Чтобы иметь право присоединиться к списку рассылки cncf-harbor-distributors-announce@lists.cncf.io, вы должны:

1. Быть активным распространителем Harbor.
2. Иметь базу пользователей, не ограниченную вашей организацией.
3. Иметь проверяемую публично историю решения проблем безопасности до настоящего времени.
4. Не являться нижестоящим или перестроенным другим распространителем.
5. Участвовать и быть активным участником сообщества Harbor.
6. Принять Политику эмбарго, изложенную ниже.
7. Иметь человека, уже состоящего в списке, который поручится за вашего представителя.

Условия и положения Политики эмбарго применяются ко всем членам этого списка рассылки. Запрос на членство представляет ваше согласие с условиями и положениями Политики эмбарго.

Политика эмбарго

Информация, которую участники получают на адрес cncf-harbor-distributors-announce@lists.cncf.io, не должна быть сделана публичной, поделена или даже намекнута где-либо за пределами лиц, которым это действительно необходимо в вашей конкретной команде, если вы не получите явного одобрения на это от команды безопасности Harbor. Это остается действительным до согласованной даты/времени публичного раскрытия списком.

Участники списка и другие лица не могут использовать информацию ни при каких условиях, кроме случаев, когда информация необходима для решения проблемы для пользователей вашего конкретного распространения.Перед тем как делиться какой-либо информацией с членами вашей команды, которым требуется исправить проблему, эти члены команды должны согласиться с такими же условиями и иметь доступ к информации только по мере необходимости. В случае непредназначенной передачи информации, превышающей разрешенные рамки данного политического документа, вы должны немедленно сообщить списку рассылки cncf-harbor-security@lists.cncf.io о том, какую именно информацию и кому было утечено. В случае продолжения утечки информации и нарушения данной политики, вы будете удалены из списка навсегда.

Процесс вступления в группу

Отправьте запросы на вступление на адрес cncf-harbor-security@lists.cncf.io. В теле вашего запроса укажите, как вы отвечаете требованиям членства и удовлетворяете каждый критерий, указанный выше в разделе "Критерии членства".## Конфиденциальность, целостность и доступность Мы считаем уязвимости, приводящие к компрометации конфиденциальности данных, повышению привилегий или нарушению целостности, нашими самыми важными проблемами безопасности. Доступность, особенно в областях, связанных с отказом в обслуживании (DoS) и истощением ресурсов, также является серьезной проблемой безопасности. Команда безопасности Harbor рассматривает все уязвимости, потенциально уязвимые места и подозрительные уязвимости очень серьезно и будет проводить расследования в срочном и оперативном порядке.Обратите внимание, что мы в настоящее время не считаем базовые настройки Harbor безопасными по умолчанию. Для обеспечения укрепленной среды Harbor операторам необходимо явно настроить параметры, управление доступом на основе ролей и другие функции управления ресурсами. Мы не будем реагировать на любые уведомления о безопасности, связанные с отсутствием безопасных значений по умолчанию. Со временем мы будем стремиться к улучшению безопасных настроек по умолчанию, принимая во внимание обратную совместимость.