官方自动刷新 CVE 订阅源的更新

作者:Cailyn Edwards (Shopify), Mahé Tardy (Isovalent), Pushkar Joglekar

译者:Wilson Wu (DaoCloud)

自从在 1.25 版本中将官方自动刷新 CVE 订阅源作为 Alpha 功能启用以来,我们已经做了一些重大改进和更新。我们很高兴宣布该订阅源的 Beta 版现已发布。这篇博文将列举收到的反馈、所做的更改, 还讨论了在未来 Kubernetes 版本中准备使其进阶成为一个稳定功能时你可以如何提供帮助。

来自最终用户的反馈

SIG Security 收到了一些最终用户的反馈:

  • JSON CVE Feed 的名称与在 JSON Feed 规范中所建议的不符
  • 除了 JSON Feed 格式之外,订阅源还可以支持 RSS 格式。
  • 可以添加一些元数据来表示整体订阅的实时性, 或者特殊 CVE 内容。 另一个建议是希望指出哪个 Prow 作业最近对订阅源进行了更新。 可以直接在问题汇总中查看更多想法。
  • 网站上的订阅源 Markdown 表应按照 CVE 发布的时间顺序由近到远排列

变更摘要

在回应中,SIG 对生成 JSON 格式订阅源的脚本进行了修改, 让生成的内容符合 JSON Feed 规范,并添加 last_updated 根字段表示整体实时性。此重新设计需要 Kubernetes 网站的相应修复,以便 CVE 订阅源页面基于新格式继续工作。

之后,完全透明的添加了 RSS 订阅源支持,以便最终用户使用订阅源时可以将其作为首选格式。

总而言之,基于 JSON Feed 规范的重新设计(打破了向后兼容性)将允许后续进行更新以解决其余问题,同时令其更加透明且对最终用户的干扰做到较小。

更新

标题Issue状态
CVE Feed: JSON feed should pass jsonfeed spec validatorkubernetes/webite#36808已关闭,详见:kubernetes/sig-security#76
CVE Feed: Add lastUpdatedAt as a metadata fieldkubernetes/sig-security#72已关闭,详见:kubernetes/sig-security#76
Support RSS feeds by generating data in Atom formatkubernetes/sig-security#77已关闭,详见:kubernetes/website#39513
CVE Feed: Sort Markdown Table from most recent to least recently announced CVEkubernetes/sig-security#73已关闭,详见:kubernetes/sig-security#76
CVE Feed: Include a timestamp field for each CVE indicating when it was last updatedkubernetes/sig-security#63已关闭,详见:kubernetes/sig-security#76
CVE Feed: Add Prow job link as a metadata fieldkubernetes/sig-security#71已关闭,详见:kubernetes/sig-security#83

接下来要做什么?

为了此订阅源进阶至稳定阶段做准备, 即 General Availability 阶段,SIG Security 仍将从最终用户持续收集他们使用最新 Beta 版订阅源后的反馈。

为了帮助我们在未来的 Kubernetes 版本中继续改进订阅源,请通过对此跟踪 Issue 添加评论来分享反馈,或者通过 #sig-security-tooling Kubernetes Slack 频道让我们获得更多信息,由此加入 Kubernetes Slack