Harbor使用者必讀：安全告警和響應機制

題圖攝於巴塞羅那港

注：微信公眾號不按照時間排序，請關注“亨利筆記”，並加星標以置頂，以免錯過更新。

在生產系統中使用 Harbor 的使用者，需要及時瞭解各種發現的 Harbor 安全漏洞或者問題，並採取必要的反饋、確認和修補措施。本文介紹如何接收安全漏洞的告警通知、如何彙報可能的安全問題，並且採取適當的響應策略。建議使用者收藏本文。

本文節選自《Harbor權威指南》一書。目前噹噹網優惠中，點選下圖直接購買。

Harbor 是首箇中國原創的 CNCF 畢業（Graduated）級別專案，意味著 Harbor 的成熟度已經被大多數使用者接受，在生產環境下有非常多的部署和應用。和所有的軟體專案一樣，Harbor 可能會出現一些安全問題。儘管 Harbor 專案在申請畢業時經過了安全性審計（Security Audit）並且修復了發現的問題，但是作為一個大型開源社群，Harbor 專案制定並採用了安全披露和響應策略，以確保在出現安全方面的問題時，維護者可以快速地處理和響應。

Harbor 的使用者或廠商應當緊密關注 Harbor 的安全公告和安全補丁，及時給所執行的 Harbor 系統升級或安裝補丁程式。如果發現安全問題，則應當及時報告Harbor 安全團隊，以便確認和提供修復補丁。Harbor 的發行商還可以申請加入安全問題通知郵件組。（注：微信公眾號不按照時間排序，請關注“亨利筆記”，並加星標以置頂，以免錯過更新。）

1．支援的版本

Harbor 社群維護著最後釋出的三個次級版本。如最新版本是 2.0.x 時，社群維護的版本是 1.9.x、1.10.x 和 2.0.x，當出現安全問題時，會根據嚴重性和可行性將適用的安全補丁程式移植到這三個版本上。為了獲得安全補丁程式，建議使用者採用在維護範圍內的版本。如果使用者目前執行的版本較舊，則會有潛在的安全風險，而且 Harbor 團隊可能不提供修復方案，因此最好把版本升級。（本文為公眾號：亨利筆記 原創文章）

2．報告安全漏洞的私下披露流程

系統的安全性是使用者最需要關注事情之一，當使用者發現安全漏洞或疑似安全漏洞時，都應私下報告給 Harbor 專案維護者，這樣可以在漏洞修復前最大限度地減少 Harbor 使用者受到的攻擊。維護者將盡快調查漏洞，並在下一個補丁程式（或次要版本）中進行修補。漏洞的資訊可以完全保留在專案內部來處理。

當使用者有下列情形之一時，可以報告漏洞。

◎認為 Harbor 有潛在的安全漏洞。

◎懷疑潛在的漏洞，但不確定它是否會影響 Harbor。

◎知道或懷疑 Harbor 使用的另一個專案有潛在漏洞，如 Docker Distribution、PostgreSQL、Redis、Notary、Clair、Trivy 等。

要報告漏洞或與安全相關的問題，使用者可透過電子郵件向 cncf-harbor-security @  lists. cncf.io 傳送有關漏洞的詳細資訊，該電子郵件會被由維護者組成的 Harbor 安全團隊接收。電子郵件將在3個工作日內得到處理，包括調查該問題的詳細計劃及可以變通的方法。如果發現一個有關 Harbor 的安全漏洞被公開披露，則請立即傳送電子郵件至cncf-harbor-security @ lists. cncf.io 來聯絡 Harbor 的安全團隊。

重要提示：出於對使用者社群的保護，不要在 GitHub 或其他公開媒體上釋出關於安全漏洞的問題。

傳送的電子郵件需提供描述性郵件標題，電子郵件正文中包含以下資訊。

◎ 基本身份資訊，如彙報人的姓名、所屬單位或公司。

◎ 重現此漏洞的詳細步驟（可包括 POC 指令碼，螢幕截圖和抓包資料等）。

◎ 描述此漏洞對 Harbor 的影響及相關的硬體和軟體配置，以便 Harbor 安全團隊可以重現此漏洞。

◎ 如果有可能，則描述漏洞如何影響 Harbor 的使用及對攻擊面的估計。

◎ 列出與 Harbor 一起使用以產生漏洞的其他專案或依賴項。

3．補丁、版本和披露報告

在收到漏洞報告之後，Harbor 安全團隊會對漏洞報告作出響應，流程如下。

（1）安全團隊將調查此漏洞並確定其影響和嚴重性。

（2）如果該問題不被視為漏洞，則安全團隊將提供詳細的拒絕原因。

（3）安全團隊將在3個工作日內與報告人進行聯絡。

（4）如果確認了漏洞及修復時間表，安全團隊則將制定計劃與適當的社群進行溝通，包括確定緩解的步驟，受影響的使用者可以透過這些步驟來保護自己，直到修復程式釋出為止。

（5）安全團隊還將使用 CVSS（Common Vulnerability Scoring System）計算器建立一個CVSS。因為需要快速行動，所以安全團隊並不追求計算出完美的 CVSS。安全問題也可以使用此 CVSS 報告給 MITER 公司，報告的 CVE（Common Vulnerabilities and Exposures）將被設定為私密狀態。

（6）安全團隊將修復漏洞並進行測試，併為推出此修復程式做準備。

（7）安全團隊將透過電子郵件向郵件組 cncf-harbor-distributors-announce @ lists. cncf.io 進行該漏洞的早期披露。該郵件組的成員主要是 Harbor 軟體發行商，可以在漏洞公佈和修復之前做出應急計劃，並且可以提前測試補丁並向 Harbor 團隊提供反饋。

（8）漏洞的公開披露日期將由 Harbor 安全團隊、漏洞提交者和發行商成員協商確定。安全團隊希望在使用者緩解措施或補丁可用的情況下，儘快將漏洞完全公開披露。在尚不完全瞭解漏洞機理和修復方法、解決方案未經過充分測試或者發行商還未協調時，漏洞披露會被適當延遲。漏洞披露的時限是從即刻開始（尤其是已經公開的情況）到幾周內。對於有直接緩解措施的嚴重漏洞，公開披露的時間大約是收到報告起的14個工作日。公開披露的時間點將由Harbor 安全團隊全權負責決定。

（9）當修復方法確認後，安全團隊將在下一個補丁程式或次要版本中修補漏洞，並將該補丁程式移植到所有受支援的早期版本中。釋出修補過的 Harbor 版本後，安全團隊將遵循公開披露流程。

4．公開披露流程

安全團隊透過 GitHub 網站向 Harbor 社群釋出公告。在大多數情況下，安全團隊還會透過 Slack、Twitter、CNCF 郵件組、部落格和其他渠道進行通知，以指導Harbor 使用者瞭解漏洞並獲得修補的版本。安全團隊還將釋出使用者可以採取的緩解措施，直到他們可以將補丁應用於其 Harbor 例項為止。Harbor 的分銷商將自行建立和釋出自己的安全公告。（本文為公眾號：亨利筆記 原創文章）

5．提早接收漏洞資訊的發行商

使用者可透過 cncf-harbor-security @ lists. cncf.io 向Harbor安全團隊報告安全問題，並在公開披露漏洞之前私下討論安全問題和修復方法。

建議 Harbor 的發行商申請加入郵件組 cncf-harbor-distributors- announce @ lists. cncf .io，以獲得早期非公開的漏洞通知，包括緩解步驟和有關安全修補版本等資訊。由於這個郵件組的特殊作用，符合以下要求的發行商才有資格申請加入：

◎成為現行的 Harbor 發行商。

◎Harbor 使用者群體不侷限於發行商內部。

◎有可公開驗證的修復安全問題的記錄。

◎不得成為其他發行商的下游廠商或產品重構者。

◎成為 Harbor 社群的參與者和積極貢獻者。

◎接受禁運政策（Embargo Policy）。

◎有已經在郵件組中的成員擔保申請人的參與資格。

6．禁運政策

在郵件組 cncf-harbor- distributors-announce @ lists. cncf.io 中收到的資訊，除非得到 Harbor 安全團隊的許可，成員不得在任何地方公開、共享或暗示，並且在本組織中只能告知需要知道的人。在商定的公開披露時間之前，需維持這樣的保密狀態。郵件組的成員除為自己發行版的使用者解決問題外，不能出於任何原因使用該資訊。在與解決問題的團隊成員共享郵件組中的資訊之前，必須讓這些團隊成員同意相同的條款，並且把了解該資訊的人員控制在最小的範圍內。（本文為公眾號：亨利筆記 原創文章）

如果成員不慎把資訊洩露到本政策允許的範圍之外，則必須立即將洩漏資訊的內容及洩漏資訊的物件緊急通知 cncf-harbor-security @ lists. cncf.io 郵件組。如果成員持續洩漏資訊並違反禁運策略，則將會被從郵件組中永久刪除。

如果需要申請加入郵件組，則可發郵件到cncf-harbor-security @ lists .cncf.io，在郵件中說明本組織滿足以上描述的“成員資格標準”。禁運政策的條款和條件適用於此郵件組的所有成員，要求加入成員代表已接受了禁運政策的條款。

7．機密性，完整性和可用性

Harbor 安全團隊最關注的問題是損害使用者資料機密性和完整性的漏洞。系統可用性，特別是與 DoS（拒絕服務攻擊）和資源枯竭相關的問題，也屬於嚴重的安全問題。Harbor 安全團隊會認真對待所有報告的漏洞、潛在漏洞和可疑漏洞，並將以緊急和迅速的方式進行調查。

注意：Harbor 的預設設定並不是安全設定。使用者必須在 Harbor 中顯式配置基於角色的訪問控制及其他與資源相關的控制功能，以加固 Harbor 的執行環境。對於使用預設值的安全披露，安全小組將不採取任何行動。