脆弱性パッチ適用プロセス
Kong Gatewayは主にDEB、RPM、およびAPKのインストール可能な成果物として提供されます。Kongは、顧客の利便性のために、アーティファクトがプリインストールされたDockerイメージも提供しています。リリース時点で、すべてのアーティファクトとイメージにパッチが適用およびスキャンされており、一般に知られている脆弱性はありません。
脆弱性の種類
一般に、脆弱性には次の3つのタイプがあります。
- Kong Gatewayコード内
- Kong Gatewayが直接リンクするサードパーティのコード(OpenSSL、glibc、libxml2 など)
- コンビニエンスDockerイメージの一部であるサードパーティコード(Python、Perl、cURLなど)。このコードはKong Gatewayの一部ではありません。
Kong Gatewayコードで報告された脆弱性はKongで評価され、その正当性が確認されると、CVSS3.0スコアが割り当てられます。Kongでは、以下のSLA内のサポートに基づき、その時点で適用可能なすべてのKong Gatewayバージョンに、CVSSスコアに基づくパッチの作成を目指します。SLAクロックは、CVSSスコアの割り当て日を起点に動き出します。
CVSS 3.0の重大な脆弱性(CVSS > 9.0)については、Kongはできるだけ早く回避策/推奨事項を提供します。これは、利用可能であれば、構成変更の推奨という形をとります。すぐに利用できる回避策や推奨事項がない場合、Kongは継続的に開発に取り組みます。CVSS <9.0の場合、Kongは、適用されるSLA期間内に回避策またはパッチを提供するために商業的に合理的な努力を払います。
CVSS 3.0の重要度 | CVSS 3.0スコア | SLA |
---|---|---|
クリティカル | 9.0 - 10.0 | 15日 |
高い | 7.0 - 8.9 | 30日間 |
中程度 | 4.0 - 6.9 | 90日 |
低い | 0.1 - 3.9 | 180日 |
Kong Gatewayが直接リンクするサードパーティコードで報告された脆弱性には、確認済みのCVE番号が割り当てられている必要があります。Kongは、以下の表に再現されているSLAの範囲内で、現在サポートされているすべての該当Kong Gatewayバージョンに対してパッチを作成することを目指します。これらの脆弱性に対するSLAクロックは、アップストリーム(サードパーティ)がパッチの提供を発表した日から開始されます。
CVSS 3.0の重要度 | CVSS 3.0スコア | SLA |
---|---|---|
クリティカル | 9.0 - 10.0 | 15日 |
高い | 7.0 - 8.9 | 30日間 |
中程度 | 4.0 - 6.9 | 90日 |
低い | 0.1 - 3.9 | 180日 |
コンビニエンスDockerイメージの一部であるサードパーティのコードで報告された脆弱性は、定期的に予定されているリリースプロセスの一環としてのみ、Kongによって対処されます。これらの脆弱性は、通常のKong Gateway操作では悪用できません。Kongは、Dockerイメージをリリースするときに常に、すべての利用可能なパッチを適用しますが、定義上、イメージには時間の経過とともに脆弱性が蓄積されます。コンテナを使用するすべてのお客様は、企業が承認した安全なベースイメージを使用して、独自のイメージを生成することを強くお勧めします。Kongのコンビニエンスイメージの使用を希望するお客様は、最新のパッチが適用されたコンテナイメージを受け取るために、常にGatewayバージョンに最新のパッチを適用する必要があります。Kongは、予定されているリリースメカニズム以外に、コンビニエンスイメージにあるサードパーティの脆弱性に対処することを約束しません。
Kongコードの脆弱性の報告
Kongコードの脆弱性を報告する場合は、Kong脆弱性開示プログラムの指示に従ってください。