OpenStack 安全¶
安全性是 OpenStack 架构的一个基本目标,需要在堆栈的所有层面上加以解决。 像任何复杂且不断发展的系统一样,安全性必须始终保持警惕,并消除漏洞。 我们需要您的帮助。
OpenStack 有两种机制可以与下游利益相关者沟通安全信息,即“公告”和“说明”。 OpenStack 安全公告 (OSSA) 是为解决 OpenStack 中存在的严重安全问题而创建的,并且已经提供了修复方案 - OSSA 由 OpenStack 漏洞管理团队 (VMT) 发布。 OpenStack 安全说明 (OSSN) 用于不符合公告要求的安全问题,通常是设计问题、部署和配置漏洞。
如何向 OpenStack 报告安全问题¶
有关详细的漏洞报告说明,请参阅 如何向 OpenStack 报告安全问题。
漏洞管理团队¶
请参阅 漏洞管理团队,以获取 OpenStack 漏洞管理人员的列表。
OpenStack 部署者安全信息¶
OpenStack 部署者有四个主要的安全性指导来源
OpenStack 安全公告 (OSSA)
OpenStack 安全说明 (OSSN)
OpenStack 安全指南
OpenStack 安全公告 (OSSA)¶
最近的 OSSA
您可以在这里找到已发布公告的完整列表
OpenStack 安全说明¶
安全说明告知用户与安全相关的问题。 安全说明类似于公告;它们通常解决 OpenStack 部署中常用的第三方工具中的漏洞,并提供有关可能导致不安全操作环境的常见配置错误的指导。
完整的 安全说明 在线可用,但它们在发布时也会发布到 OpenStack 邮件列表中。
OpenStack 安全指南¶
OpenStack 安全指南为 OpenStack 部署者提供最佳实践信息。 本指南由 OpenStack 安全项目的安全专家社区编写,基于在加固 OpenStack 部署时获得的经验。 本指南涵盖计算和存储加固、速率限制、合规性和密码学等主题;它是任何希望安全部署 OpenStack 的人的起点。
立即在线阅读 该指南。
发布制品签名¶
OpenStack 版本的交付制品,主要是 Git 标签和 Python 包文件 (.tar.gz sdists 和 .whl wheels),由我们的发布自动化进行签名。 您可以在 OpenStack Releases 网站的“密码签名”部分 找到更多详细信息。
OpenStack 开发人员安全信息¶
如何提出和审查安全补丁¶
注意
安全补丁的补丁开发和审查过程与 OpenStack 中的普通补丁不同。 由于 gerrit 审查过程是公开的,因此所有安全漏洞都必须在 StoryBoard 或 Launchpad 报告评论中提出补丁并进行审查。
在为报告的错误开发了本地补丁后,您(补丁作者)需要与社区共享该补丁。 这是一个简单的过程,但它与正常的 OpenStack 工作流程不同。
使用 format-patch 命令导出它
git format-patch --stdout HEAD~1 >path/to/local/file.patch
现在您已将补丁保存在本地,可以将其作为评论附加到错误页面上。
对于审查者,要审查附加的补丁,请运行以下命令
git am <~path/to/local/file.patch
这将以提交的形式在本地应用补丁,包括提交消息、作者、日期和所有其他元数据。 但是,如果补丁作者没有使用 format-patch 导出补丁(也许他们只使用了 git show >local.patch),则可以使用以下命令在本地应用补丁
git apply path/to/local/file.patch
安全开发指南¶
OpenStack 安全团队协作开发了这套指南和最佳实践,以帮助避免导致 OpenStack 平台中安全漏洞的常见错误。
