Istio 安全性版本處理方式更新：週二修補程式、禁運和零時差漏洞

雖然 Istio 產品安全工作組的大部分工作都在幕後進行，但我們仍在聽取社群意見，設定安全性版本的期望。我們理解，網格管理員、營運人員和供應商很難知道安全性公告和安全性版本。

我們目前透過多種管道揭露漏洞和安全性版本

• istio.io，透過我們的版本公告和安全性公告
• 討論
• Slack上的 announcements 頻道
• Twitter
• RSS

在操作任何軟體時，最好在升級時規劃可能的停機時間。鑑於 Istio 社群在 2021 年圍繞第二天的營運所做的工作，環境工作組在簡化使用者遇到的許多升級問題方面做得很好。產品安全工作組旨在透過設定例行的安全性版本發佈日來幫助第二天的營運，以便我們的使用者可以提前規劃升級作業。

週二修補程式

產品安全工作組計劃在每個月的第二個星期二發布安全性版本。這些安全性版本可能包含多個 CVE 的修復程式。產品安全工作組的目標是使這些安全性版本不包含任何其他修復程式，儘管這並非總是可能。

當產品安全工作組計劃發布即將發布的安全性修補程式時，將在發布前 2 週在Istio 討論區上發布公告。如果您在生產環境中執行 Istio，我們建議您關注「公告」類別，以便在發布時收到通知。如果沒有發布此類公告，則該月將不會發布安全性版本，但以下列出的一些例外情況除外。

第一個週二修補程式

我們很高興地宣布，Istio 1.9.5和 Istio 1.8 的最終版本1.8.6是符合此模式的第一個安全性版本。由於 Istio 1.10 即將發布，我們計劃在 6 月繼續這個新傳統。

這些版本修復了 3 個 CVE。請參閱版本頁面以了解有關已修復的特定 CVE 的資訊。

非計畫性安全性版本

零時差漏洞

遺憾的是，無法規劃零時差漏洞。一旦揭露，產品安全工作組將需要發布帶外安全性版本。上述方法將用於揭露此類問題，因此請至少使用其中一種方法來接收此類揭露的通知。

第三方禁運

與零時差漏洞類似，安全性版本的發布可能由第三方禁運決定，即 Envoy。當發生這種情況時，Istio 將在禁運解除後立即發布修補程式。

安全性最佳實務

過去幾個月中，Istio 安全性最佳實務已獲得許多改進。我們建議您定期查看它，因為我們最近的許多安全性公告都可以透過使用安全性最佳實務頁面中討論的方法來緩解。

早期揭露清單

如果您符合成為Istio 早期揭露清單成員的標準，請申請成為會員。即將發布的安全性版本的修補程式將在 Istio 的週二修補程式發布前約 2 週提供給早期揭露清單。

有時候，即將發布的 Istio 安全性版本也需要 Envoy 的修補程式。由於它們的禁運，我們無法重新分發 Envoy 修補程式。請參閱 Envoy 的指南，了解如何加入他們的早期揭露清單。

安全性意見回饋

產品安全工作組每週二太平洋時間 9:00-9:30 舉行雙週會議。如需更多資訊，請參閱Istio 工作組日曆。

我們的下一次公開會議將於 2021 年 5 月 25 日舉行。請加入我們！