我们为以下版本提供安全更新:
| 版本 | 支持状态 |
|---|---|
| 1.0.x | ✅ |
如果您发现了安全漏洞,请不要在公开的 Issues 中报告。
- 私密报告:通过 GitHub Security Advisories 私密报告
- 邮件报告:发送详细信息到项目维护者邮箱
请在报告中包含以下信息:
- 漏洞的详细描述
- 重现步骤
- 影响范围和严重程度
- 可能的修复建议
- 确认收到:24小时内
- 初步评估:72小时内
- 修复发布:根据严重程度,1-30天
- 不要在生产环境中使用默认配置
- 使用 HTTPS 协议
- 配置适当的防火墙规则
- 定期更新依赖包
- 不要在代码中硬编码敏感信息
- 使用环境变量存储配置
- 限制文件系统访问权限
- 定期轮换访问凭证
- 使用 RBAC 限制权限
- 不要使用 cluster-admin 权限
- 定期审查 kubeconfig 文件
- 使用网络策略限制访问
- 应用需要读取 kubeconfig 文件
- 建议使用只读权限
- 避免存储在公共目录
- Telepresence 需要集群网络访问
- gRPC 调用可能涉及敏感数据
- 建议在受信任的网络环境中使用
- 本地 SQLite 数据库存储配置
- 不包含敏感的认证信息
- 建议定期备份和清理
我们使用以下工具监控依赖安全:
- GitHub Dependabot
- 定期安全审计
建议用户:
- 定期更新依赖包
- 关注安全公告
- 使用虚拟环境隔离