安全策略
支持的版本
我方遵循生命周期结束(EOL) 政策,为 KubeSphere 各版本提供安全补丁和错误修复支持。
我们会定期发布补丁版本,以解决所支持 KubeSphere 版本中的安全漏洞和重要错误。每个版本的支持期限由其 EOL 日期决定,而不是基于支持的次要版本数量。
当前支持计划如下:
| KubeSphere 版本 | 生命周期结束 (EOL) 日期 |
|---|---|
KubeSphere v4.2 | 待定 |
KubeSphere v4.1 | 2027 年 9 月 12 日 |
KubeSphere v3.4 | 2025 年 12 月 25 日 |
KubeSphere v3.3 及更早版本 | 2025 年 10 月 31 日 |
一旦版本达到其 EOL 日期,它将不再收到官方的安全更新或错误修复。我们可能会在能力范围内为较旧版本提供关键安全修复,但无法保证所有安全补丁都会回溯到不受支持的版本。
在极少数情况下,如果安全修复需要进行重大的架构更改或其他高度侵入性的修改,并且存在可行的替代方案,我们可能会选择仅在未来的版本中实施修复,而不是回溯到当前受支持版本的补丁中。
为了长期稳定性,建议用户根据 EOL 时间表规划升级 KubeSphere。
如有任何改进建议,请告知!
报告漏洞
安全漏洞披露与响应流程
为确保 KubeSphere 的安全性,我们建立了安全漏洞披露与响应流程,并在 KubeSphere 社区中设立了专门的安全团队,同时欢迎所有贡献者提交问题和 PR。
该流程的主要目标是缩短用户暴露于公开已知漏洞的时间。安全团队负责漏洞管理的全流程,包括内部沟通和外部披露,以确保 KubeSphere 的漏洞能够被快速修复。
如果您发现漏洞或遇到与 KubeSphere 有关的安全事件,请立即联系 KubeSphere 安全团队(security@kubesphere.io)。
请尽可能按照以下格式提供漏洞信息:
问题标题(请添加
Security标签)*:概述 *:
受影响的组件及版本号 *:
CVE 编号(如有):
漏洞验证过程 *:
联系方式 *:
带星号(*)的字段为必填项。
响应时间
KubeSphere 安全团队将在您提交漏洞后的 2 个工作日内确认并联系您。
在漏洞修复完成后,我们将公开致谢。为避免潜在负面影响,请在修复完成前对漏洞信息严格保密。
我们希望您能遵守以下行为准则:
在 KubeSphere 发布补丁之前,请勿对外披露该漏洞。
请勿公开漏洞的详细信息(例如漏洞利用代码)。
反馈
这篇文章对您有帮助吗?
通过邮件接收 KubeSphere 最新的技术博客与产品更新的通知
感谢您的反馈。如果您有关于如何使用 KubeSphere 的具体问题,请在 Slack 上提问。如果您想报告问题或提出改进建议,请在 GitHub 存储库中打开问题。
上一篇
页面内容