新機能:プロジェクトの最新情報についてはTwitterMastodonで入手できます。

cert-managerがCNCF後援のセキュリティ監査を完了しました!

2024年3月18日月曜日

2023年末、cert-managerプロジェクトは、CNCFの後援を受け、Ada Logicsチームが実施したセキュリティ監査を開始しました。これは、cert-managerがCNCFで"卒業"ステータスに到達するための継続的な取り組みの一環です。

このエンゲージメントの目的は、cert-managerのコード品質を評価し、開発およびリリースプラクティスと依存関係をチェックすることでした。さらに、監査チームはcert-managerをGoogleのOSS-Fuzzプロジェクトに統合して、継続的にバグを検出できるようにしました。

チームは、cert-managerまたはその依存関係への貢献者、cert-managerがデプロイされているクラスタのユーザー、そしてcert-managerが信頼できないインターネットユーザーからの入力を処理する可能性がある場合の外部ユーザーからの脅威を評価しました。

脅威モデルとアクタの完全な内訳については、完全レポートを参照してください。

監査の一環として、合計8つの問題が提起され、そのうち5つは軽微な重大度、2つは中程度の重大度、1つは情報的なものでした。すべての問題は、cert-manager v1.12.8、v1.13.4、およびv1.14.3で解決されています。

cert-managerプロジェクトの依存関係は、OpenSSF Scorecardを使用して評価されました。これは、いくつかの要因を使用してリポジトリを採点し、保守状況と適合性の概要を構築するプロセスです。その結果に基づいて、3つの依存関係がcert-managerから削除されました。依存関係の完全な調査結果と採点は、完全レポートにあります。

新しい依存関係が発生した場合に評価するための戦略を実装するために、問題を公開しました。

cert-managerメンテナンスチームは、特にAdam Korczynski氏とDavid Korczynski氏に、この監査を円滑かつ専門的に完了してくれたAda Logicsチームに特別な感謝を申し上げます。

さらに、プロジェクトは、この監査の後援をしてくれたCNCFと、レポートの調査結果に対応し修正するためのメンテナンス担当者の時間を後援してくれたVenafiに感謝の意を表したいと思います。

このセキュリティ監査は、cert-managerの卒業に向けた最後の主要な障害であり、今後数ヶ月でその目標を達成するためにCNCFと緊密に協力することを楽しみにしています!