OpenStack中的安全组织
2014-01-01
本博客所有文章采用的授权方式为 自由转载-非商用-非衍生-保持署名 ,转载请务必注明出处,谢谢。
声明:
本博客欢迎转发,但请保留原作者信息!
新浪微博:@Lingxian_kong
博客地址:孔令贤的博客
微信公众号:飞翔的尘埃
知识星球:飞翔的尘埃
内容系本人学习、研究和总结,如有雷同,实属荣幸!
OpenStack Vulnerability Management Team
OpenStack Vulnerability Management Team(VMT)是负责处理OpenStack安全问题的组织,负责处理漏洞的修复和发布过程。为了防止漏洞的扩散,该组织最多只能有三个成员。该组织目前提供OpenStack前两个版本的漏洞补丁,下一版本正在开发中。
一个security bug的处理流程如下:
- 漏洞的上报可以直接给VMT成员发送私人加密邮件,或者提交Launchpad security bug,前期主要是对漏洞及其影响的确认,一旦确认,就会指定OSSA,将ossa bugtask status置为Confirmed
- 补丁开发和检视。开发者可以是漏洞的提交者,或PTL,或PTL认为合适的人选。由core developer对补丁进行预检视,以便在漏洞公开时被快速合入。
- 漏洞描述的撰写和检视。在开发补丁的同时,VMT coordinator将按照特定的模板起草漏洞说明,并发送提交者和PTL检视
- 分配CVE号。在补丁即将被合入之前,ossa bugtask status是In progress,会以邮件的方式向CNA组织申请CVE;如果是已公开漏洞,则会向oss-security邮件列表申请CVE
- 有了补丁和CVE,下游的利益干系人会提前收到漏洞通知,漏洞的公开时间一般是3-5个工作日之后,此时,ossa bugtask status会被置为Fix committed. 在公开时间点,分支的维护者会将补丁提交到Gerrit,公开bug信息,快速合入代码。
- 代码合入后,会向OpenStack ML发送安全公告,这里是最近的一个例子,最终,将ossa bugtask status置为Fix released.
OpenStack Security Group
OpenStack Security Group(OSSG)做的事情稍有不同,该组织是通过对代码、架构、文档的优化和改进来提高用户使用OpenStack的安全性,如有必要,OSSG会向VMT提交并协助处理漏洞。该组织出品了OpenStack Security Guide,发行了OpenStack Security Notes,社区邮件列表点击这里,如需订阅,请点击这里。该组织目前尚不成熟。
参考文档:
https://wiki.openstack.org/wiki/Vulnerability_Management