コンテンツへスキップ

Knativeセキュリティと情報開示

このページでは、Knativeのセキュリティと情報開示について説明します。

Knative脅威モデル

コード署名検証

すべてのプラットフォーム

1.9以降のリリースは、cosignで署名されています。バイナリの検証には、次の手順を使用できます。

  1. 必要なファイルと、checksums.txtchecksum.txt.pemchecksums.txt.sigファイルをリリースページからダウンロードします。
    # this example verifies the 1.10.0 kn cli from the knative/client repository
wget https://github.com/knative/client/releases/download/knative-v1.10.0/checksums.txt
wget https://github.com/knative/client/releases/download/knative-v1.10.0/kn-darwin-amd64
wget https://github.com/knative/client/releases/download/knative-v1.10.0/checksums.txt.sig
wget https://github.com/knative/client/releases/download/knative-v1.10.0/checksums.txt.pem
  2. 署名を検証します。
    cosign verify-blob \
--certificate-identity=signer@knative-releases.iam.gserviceaccount.com \
--certificate-oidc-issuer=https://# \
--cert checksums.txt.pem \
--signature checksums.txt.sig \
checksums.txt
  3. 署名が有効な場合は、ダウンロードしたバイナリとSHA256合計値が一致することを確認できます。
    sha256sum --ignore-missing -c checksums.txt

注記

KnativeイメージはKEYLESSモードで署名されています。キーレス署名について詳しくは、キーレス署名を参照してください。リリースの署名ID(Subject)はsigner@knative-releases.iam.gserviceaccount.com、発行者はhttps://#です。

Apple macOS

バイナリをcosignで署名することに加えて、macOSバイナリはnotarizeされています。1.9リリース以降のバイナリの検証には、codesignユーティリティを使用できます。出力は次のようになります。期待されるTeamIdentifierは7R64489VHLです。

codesign --verify -d --verbose=2 ~/Downloads/kn-quickstart-darwin-amd64

Executable=/Users/REDACTED/Downloads/kn-quickstart-darwin-amd64
Identifier=kn-quickstart-darwin-amd64
...
Authority=Developer ID Application: Mahamed Ali (7R64489VHL)
Authority=Developer ID Certification Authority
Authority=Apple Root CA
Timestamp=3 Oct 2022 at 22:50:07
...
TeamIdentifier=7R64489VHL

脆弱性の報告

Knativeオープンソースコミュニティへの脆弱性の報告をいただくセキュリティ研究者やユーザーの皆様に深く感謝申し上げます。すべての報告は、コミュニティボランティアによって徹底的に調査されます。

報告するには、セキュリティの詳細と、すべてのKnativeバグ報告で期待される詳細を記載して、非公開のsecurity@knative.teamリストにメールを送信してください。

いつ脆弱性を報告すべきか?

  • Knativeに潜在的なセキュリティ脆弱性があると考えた場合
  • 脆弱性がKnativeにどのように影響するか不明な場合
  • Knativeが依存する他のプロジェクトに脆弱性があると考えた場合
    • 独自の脆弱性報告と開示プロセスを持つプロジェクトについては、直接そちらに報告してください。

いつ脆弱性を報告すべきではないか?

  • Knativeコンポーネントのセキュリティ調整に関するヘルプが必要な場合
  • セキュリティ関連の更新の適用に関するヘルプが必要な場合
  • 問題がセキュリティ関連ではない場合

脆弱性への対応

セキュリティワーキンググループ

サイトトラフィックを理解するために、分析とCookieを使用しています。その目的で、サイトの使用に関する情報がGoogleと共有されます。詳細はこちら。

× OK