OpenStack中的安全组织
原文链接 https://lingxiankong.github.io/2014-01-01-openstack-security.html
注:以下为加速网络访问所做的原文缓存,经过重新格式化,可能存在格式方面的问题,或偶有遗漏信息,请以原文为准。
OpenStack Vulnerability Management Team
OpenStack Vulnerability Management Team(VMT)是负责处理OpenStack安全问题的组织,负责处理漏洞的修复和发布过程。为了防止漏洞的扩散,该组织最多只能有三个成员。该组织目前提供OpenStack前两个版本的漏洞补丁,下一版本正在开发中。
一个security bug的处理流程如下:
- 漏洞的上报可以直接给VMT成员发送私人加密邮件,或者提交Launchpad security bug,前期主要是对漏洞及其影响的确认,一旦确认,就会指定OSSA,将ossa bugtask status置为Confirmed
- 补丁开发和检视。开发者可以是漏洞的提交者,或PTL,或PTL认为合适的人选。由core developer对补丁进行预检视,以便在漏洞公开时被快速合入。
- 漏洞描述的撰写和检视。在开发补丁的同时,VMT coordinator将按照特定的模板起草漏洞说明,并发送提交者和PTL检视
- 分配CVE号。在补丁即将被合入之前,ossa bugtask status是In progress,会以邮件的方式向CNA组织申请CVE;如果是已公开漏洞,则会向oss-security邮件列表申请CVE
- 有了补丁和CVE,下游的利益干系人会提前收到漏洞通知,漏洞的公开时间一般是3-5个工作日之后,此时,ossa bugtask status会被置为Fix committed. 在公开时间点,分支的维护者会将补丁提交到Gerrit,公开bug信息,快速合入代码。
- 代码合入后,会向OpenStack ML发送安全公告,这里是最近的一个例子,最终,将ossa bugtask status置为Fix released.
OpenStack Security Group
OpenStack Security Group(OSSG)做的事情稍有不同,该组织是通过对代码、架构、文档的优化和改进来提高用户使用OpenStack的安全性,如有必要,OSSG会向VMT提交并协助处理漏洞。该组织出品了OpenStack Security Guide,发行了OpenStack Security Notes,社区邮件列表点击这里,如需订阅,请点击这里。该组织目前尚不成熟。
参考文档:
https://wiki.openstack.org/wiki/Vulnerability_Management