cert-manager 完成 CNCF 赞助的安全审计！

2024 年 3 月 18 日星期一

在 2023 年底，cert-manager 项目开始进行一项安全审计，由 CNCF 赞助，由 Ada Logics 团队执行，作为 cert-manager 持续努力的一部分 达到 CNCF 中的“毕业”状态 。

此次审计的目的是评估 cert-manager 的代码质量，以及检查其开发和发布实践以及依赖关系。此外，审计团队将 cert-manager 整合到 Google 的 OSS-Fuzz 项目中，以帮助持续发现错误。

该团队评估了来自 cert-manager 或其任何依赖项贡献者、部署 cert-manager 的集群上的用户以及在 cert-manager 可能处理来自不受信任的互联网用户输入的情况下外部用户的威胁。

有关威胁模型和参与者的完整细分，请参阅 完整报告 。

审计共发现 8 个问题，其中 5 个为低严重性，2 个为中度严重性，1 个为信息性。所有问题已在 cert-manager v1.12.8、v1.13.4 和 v1.14.3 中解决。

cert-manager 项目的依赖项使用 OpenSSF Scorecard 进行评估。这是一个使用多个因素对存储库进行评分的过程，以构建其维护状态和适用性的概况。根据结果，三个依赖项已从 cert-manager 中删除。依赖项的完整发现和评分可以在 完整报告 中找到。

我们已经 创建了一个问题 ，用于实施评估新依赖项的策略。

cert-manager 维护者团队要特别感谢 Ada Logics 团队，尤其是 Adam Korczynski 和 David Korczynski，他们顺利而专业地完成了此次审计。

此外，该项目当然要感谢 CNCF 赞助了此次审计，以及 Venafi 赞助了维护者时间以响应和修复报告中的发现。

此次安全审计是 cert-manager 毕业之路的最后一个主要障碍，我们期待着在未来几个月与 CNCF 密切合作，努力实现这一目标！