ChartCenterに执掌图表のセキュリティ軽減メモ(缓解音符)を追加する
图解中心(ChartCenter)Kubernetes赫尔姆图。(英译汉)1Helm(舵手)图(图):。つまり,元のソースがダウンしても,执掌图表のすべてのバージョンとChartCenter内のすべてのバージョンが常に利用できるということです。★★★★★★★★★★★★★★★★★图()掌舵图,アプリケーションのバージョン,执掌のバージョン,他の图表がこのバージョンを使用している数など,豊富なメタデータが含まれています。
图表中心中文:我非常喜欢你啊哈!すべての图表のバージョンについてJFrog x光を使用して脆弱性をスキャンしCVSS 2の評価を使用して,高,中,低,未知いずれかのCVEスコアを算出します。
图表中心
CVE(常见漏洞和暴露)(DHS)。多くのサイバーセキュリティ企業は組織が自社の問題を明確に。CVEは特定の脆弱性やエクスポージャー(システム上の攻撃可能な不備など)に対する標準化された識別子を作成することで,組織間で既知の脆弱性に関する情報共有を容易にできます。CVEにより,組織はセキュリティツールの適用範囲を評価するためのベースラインを設定することができます。CVEの共通識別子は各ツールが何をカバーしていて,そのツールが組織にとってどの程度適切なのかを確認することができます。
各图ページのセキュリティタブに移動すると,ユーザーはCVE ID,概要,コンポーネントおよび問題があるイメージといった脆弱性の詳細を確認することができます。
缓解笔记
私たちがこのセキュリティ機能をテストしている間に,様々なコミュニティメンバーから得たフィードバックがあります。脆弱性の多くは图表のメンテナーがコントロールできないサードパーティのコンポーネントにあるため,どのCVEが実際にアプリケーションに影響を与えるかについてエンドユーザに何らかのコンテキストを提供する機能をメンテナーに与えることができればより良いというものです。
正しくバランスを取り图表のメンテナーとユーザー両方の意思決定を支えるツールとするために,私たちは”缓解笔记> > > > > > > > > > > > > > > > > > > > > > > > >carreos DockerHub。しかし,JFrogのChartCenterは1つのビューですべてを容易に閲覧でき,ユーザーが複数バージョンに渡って問題を確認できるUI上に情報が表示される初のツールでした。このことから,組織が图表のセキュリティについてユーザーとやりとりするための方法を提供することが正しいことだと分かりました。
また,この問題をきっかけに执掌图表のメンテナーがChartCenter UI上でユーザーと直接対話できるような新機能を構築することになりました。このソリューションはアプリケーション全体のセキュリティについて,图表のユーザーに透明性を提供し続ける必要があります。。中程度,低程度,未知のCVEの詳細をすべて継続的に公開することから始めましたが,高い脆弱性のデータにアクセスできるのはコミュニティユーザーがChartCenterにログインした場合に限られます。
“维护者笔记”
缓解说明:security-mitigation.yaml你怎么看?ユーザーがこれを設定すると,セキュリティタブの各CVEの横にアイコンが表示されます。
アイコンをクリックすると次のような文章が表示されます:
軽減メモとアドバイスの例
ユーザーにこの手のアドバイスを提供することに慣れていない方は手本となる企業がたくさんあることを知っておいてください。これらの企業の多くはコード内のセキュリティ脆弱性を軽減するための独自のプロセスを持っており,サイト上に専用のページやポータルを構築して情報を公開している場合もあります。以下にセキュリティリスクへ対処するために会社標準の軽減勧告を実施している企業の例と,その方針の簡単な概要を示します。。
Drupal: DrupalのセキュリティチームはDrupalコアやコントリビュートしたプロジェクトで報告されたセキュリティ問題をサイトオーナーに通知するため,セキュリティ勧告の公開アナウンスを管理しています。。Drupalのセキュリティ勧告のプロセスについての詳細はこちらをご覧ください。
汪汪,汪汪,汪汪:。セキュリティ更新プログラムに関連する重要度・重大度の高い各脆弱性の悪用の可能性を評価し,毎月のセキュリティ更新プログラムの詳細情報の一部として悪用可能性情報を公開しています。詳細を公開した後に,マイクロソフトが必要だと判断した場合は可利用性指数评估(悪用可能性指標)を変更し,技術的なセキュリティ通知で顧客に通達します。我的意思是,我的意思是……
图表中心缓解YAML
YAMLファイルを記述後は次のバージョンの执掌图表にそのファイルを含めることができます。★★★★★★★★★★★★★★★★★★security-mitigation.yamlファイルをメールで送信することもできます(ユーザーのメールアドレスが图表のリポジトリ情報に含まれていることが確認されます)。
3 .。
- 中文:中文:
- wikiやウェブページ上で外部ホストされている軽減情報のウェブサイトを作成者が提示できる
外部ホストされたsecurity-mitigation.yaml这是一个很好的例子
| 场 | 描述 | 类型 |
总结 |
适用于所有图表版本的总体缓解摘要 | 文本 |
securityAdvisoryUrl |
指向外部托管的缓解信息(如wiki、网页等)的链接。 | url |
useMitigationExternalFile |
真正的意思security-mitigation.yaml托管在其他地方。False表示当前文件的内容表示安全缓解信息。默认值:false |
真/假 |
mitigationExternalFileUrl |
如果设置为true,则此参数指向外部托管的urlsecurity-mitigation.yaml |
url |
应对:cf |
已提供缓解说明的cve列表。 | CVE-YYYY-NNNN |
mitigations: cves: affectedPackageUri |
指示为其提供安全缓解的包Uri。目前我们只支持两个包uri: 码头工人 |
uri |
mitigations: cves:受影响的版本 |
SemVer约束聪明人/ semver如用于Chart.yaml为kubeVersion指定哪个版本应该使用缓解信息。 |
示例:" > 1.2.x |
缓解:cves:描述 |
CVE级别的缓解说明。 | 文本描述 |
★★★★★★
图表缓解说明。★★★★security-mitigation.yaml。ご質問がある場合はchartcenter@www.si-fil.com。
