Knative、第三者によるセキュリティ監査を完了 ¶
公開日: 2023-12-05 , 改訂日: 2024-01-17
Knative、第三者によるセキュリティ監査を完了¶
著者:Adam Korczynski、Ada Logics のセキュリティエンジニア
Knative は、Ada Logics が実施し、Open Source Technology Improvement Fund が支援した、第三者によるセキュリティ監査の完了を発表します。これは、Knative にとってわずか数か月で2回目の第三者によるセキュリティ監査となります。今年の 7 月には、Knative は Ada Logics が実施したファジングセキュリティ監査も完了しました。ファジングセキュリティ監査は、Knative のファジングの状態を自動化された方法で改善することに重点を置いていましたが、今日 Knative は、脅威モデリング、手動コード監査、およびサプライチェーンリスク評価に焦点を当てた監査を完了しました。
監査中、Ada Logics は Knative チームと密接に連絡を取り、監査の進行状況に応じて随時結果を共有しました。Knative チームと Ada Logics は、発見された問題の緩和と修正について協力しました。
監査は主に、Eventing、Serving、Pkg の3つのコア Knative サブプロジェクトに焦点を当て、Knative Extensions、Knative Func、Security-Guard には少し焦点を当てました。
Knative Extensions は、さまざまな Knative ユースケース向けのオプションのプラグインおよび拡張機能です。たとえば、ユーザーは Knative Eventing 用に公式に管理されているさまざまな統合を見つけることができ、Security-Guard プロジェクトも Knative Extensions に存在します。多くの Knative Extensions サブプロジェクトはまだ完全に成熟しておらず、多くがアルファ版およびベータ版のリリースステータスになっています。
Ada Logics は 16 件のセキュリティ問題を特定し、そのうちの 1 件を除き、すべてがアップストリームパッチで修正されています。見つかった問題のうち 3 件は、Knative のサードパーティ製依存関係にあります。発見された問題の 1 つは、潜在的な影響 (ADA-KNATIVE-23-7) により重大度が高いと評価されています。ただし、攻撃者は Knative ユーザーのサプライチェーンを侵害する必要があります。これは、少数の Knative ユーザーが攻撃を可能にする方法で Knative を使用しているため、現実のシナリオでは発生する可能性は非常に低いと考えられます。さらに、攻撃者は攻撃のタイミングを高度に調整する必要があります。問題は修正されています。
監査中に、すでに権限がエスカレートされた攻撃者がクラスター内でさらなる損害を引き起こす可能性のある脆弱性に対して 1 つの CVE が割り当てられました。攻撃者はまず Knative ポッドでポジションを確立する必要があり、そこから脆弱性を悪用して Knative 自動スケーリングのサービス拒否を引き起こし、それによって Knative の自動スケーリングをすべて拒否することができます。この問題には、中程度の重大度の CVE-2023-48713 が割り当てられ、v1.12.0、v1.11.3、および v1.10.5 で修正されました。
監査に先立ち、Knative は独自の provenance generator の構築に投資しており、これにより slsa 準拠のプロベナンスが生成され、リリースに追加されます。ユーザーは、使用する前に 公式 SLSA ガイドラインを使用してプロベナンスを検証できます。Knative メンテナーは、Knative Serving にいくつかの Prow 構成行が欠落しているため、Knative Serving リリースにプロベナンスがないことを発見しました。これは こちらで修正されており、今後の Knative Serving リリースには検証可能なプロベナンスが含まれることが保証されます。
Knative は、セキュリティ監査を実施してくれた Ada Logics、それを促進してくれた OSTIF、監査に資金を提供してくれた CNCF に感謝します。
Knative は、コミュニティの貢献を推奨するオープンソースプロジェクトです。Knative の継続的なセキュリティ作業に貢献したい場合は、レポート、特に戦略的推奨事項と SAST ツールセクションを読むことをお勧めします。これらには、Knative のセキュリティ体制に関する実践的な推奨事項が含まれています。質問、コメント、提案がある場合は、いくつかの方法でコミュニティと交流することができます。