cert-manager 完成 CNCF 贊助的安全稽核！

2024 年 3 月 18 日 星期一

在 2023 年底，cert-manager 專案開始了一項由 CNCF 贊助，並由 Ada Logics 團隊執行的安全稽核，作為 cert-manager 在 CNCF 中達到「畢業」狀態的持續努力的一部分。

此次參與的目標是評估 cert-manager 的程式碼品質，並檢查其開發和發布實務以及依賴項。此外，稽核團隊將 cert-manager 整合到 Google 的 OSS-Fuzz 專案中，以協助持續捕捉錯誤。

該團隊評估了來自 cert-manager 的貢獻者或其任何依賴項、部署 cert-manager 的叢集上的使用者，以及在 cert-manager 可能處理來自不受信任的網際網路使用者的輸入的情況下的外部使用者的威脅。

如需威脅模型和行為者的完整細分，請參閱完整報告。

作為稽核的一部分，總共提出了 8 個問題，其中 5 個是低嚴重性、2 個是中等嚴重性，1 個是資訊性的。所有問題都已在 cert-manager v1.12.8、v1.13.4 和 v1.14.3 中解決。

cert-manager 專案的依賴項使用 OpenSSF Scorecard 進行評估。這是一個使用多個因素對儲存庫進行評分的過程，以建立其維護狀態和適用性的圖像。根據結果，cert-manager 中移除了三個依賴項。關於依賴項的完整發現和評分可以在完整報告中找到。

我們已開啟了一個 issue，以實施在出現新依賴項時評估它們的策略。

cert-manager 維護團隊要特別感謝 Ada Logics 的團隊 - 特別是 Adam Korczynski 和 David Korczynski - 順利且專業地完成此次稽核。

此外，該專案當然要感謝 CNCF 對本次稽核的贊助，以及 Venafi 贊助維護者時間來回應和修復報告中的發現。

這次安全稽核是 cert-manager 邁向畢業之旅的最後一個主要障礙，我們期待在未來幾個月內與 CNCF 密切合作，努力實現這個目標！