Openstack安全更新的流程和机制
2014-04-18 00:00
211 查看
摘要: Openstack安全更新的流程和机制
VMT (Vulnerability Management Team)这个团队主要负责处理openstack的安全漏洞,并负责制定相关的流程。我的理解是VMT其实是一个QA+ Release Management团队,主要从流程上确保安全漏洞能够被合理的处理。
OSSG (Openstack Security Group)这个团队旨在完善Openstack的安全性,包括代码,架构,文档,第三方组件安全建议等。如果OSSG发现了安全漏洞,需要将该漏洞转交给VMT,而VMT需要从流程上保障该漏洞的处理和发布; 期间,VMT会要求OSSG帮组评估和解决漏洞。这个团队最近一个很瞩目的成果是发布了Openstack Security Guide. 我个人理解是这个团队主要负责技术执行,差不多是一个Development Team。
OSSA (Openstack Security Advisories)OSSA负责为OSSG提供Openstack的Security Advisories, 即Openstack自身安全漏洞的解决办法,通常情况下,一旦OSSA的安全漏洞被确定,都需要发布一个跨版本的补丁。
一般来说,Openstack官方一般会维护两个稳定版本(当前是G和H)和一个开发版本(当前是I), 并同时为这些版本提供安全补丁, 为了提高系统安全性,一旦官方发布了OSSA, 维护人员应该及时应用这些补丁,确保这些安全漏洞不会被黑客利用。
OSSN (Openstack Secuirty Notes)和OSSA不同, OSSN负责为Openstack所以来的常用第三方组件提供安全建议,因为这些组件不是Openstack维护,比如Mysql最近某个配置导致一个严重安全漏洞,那么OSSN可能会发布一个文档,指导维护者绕开或者不要使用这个配置。OSSN好像成立的时间不是很久,下面是到目前为止已经发布的OSSN:
https://wiki.openstack.org/wiki/Security_Notes
总结
Openstack官方一般会通过mailist和wiki不定期发布稳定版本的OSSA和OSSN,作为系统管理员需要及时更新系统,保证这些漏洞不被利用;
Openstack目前稳定版本的生命周期一般少于2年, 比如F版本,2012.2 - 2013.11, 和成熟的系统相比(Linux LTS一般5年以上),有较大差距。一旦版本EOL, 从安全性出发,需要考虑向第三方购买安全服务或者是升级到高版本。
参考资料
Openstack Security Wiki
Openstack Security Guide
OSSA@Launchpad
OSSN@Launchpad
Openstack Releases
VMT (Vulnerability Management Team)这个团队主要负责处理openstack的安全漏洞,并负责制定相关的流程。我的理解是VMT其实是一个QA+ Release Management团队,主要从流程上确保安全漏洞能够被合理的处理。
OSSG (Openstack Security Group)这个团队旨在完善Openstack的安全性,包括代码,架构,文档,第三方组件安全建议等。如果OSSG发现了安全漏洞,需要将该漏洞转交给VMT,而VMT需要从流程上保障该漏洞的处理和发布; 期间,VMT会要求OSSG帮组评估和解决漏洞。这个团队最近一个很瞩目的成果是发布了Openstack Security Guide. 我个人理解是这个团队主要负责技术执行,差不多是一个Development Team。
OSSA (Openstack Security Advisories)OSSA负责为OSSG提供Openstack的Security Advisories, 即Openstack自身安全漏洞的解决办法,通常情况下,一旦OSSA的安全漏洞被确定,都需要发布一个跨版本的补丁。
一般来说,Openstack官方一般会维护两个稳定版本(当前是G和H)和一个开发版本(当前是I), 并同时为这些版本提供安全补丁, 为了提高系统安全性,一旦官方发布了OSSA, 维护人员应该及时应用这些补丁,确保这些安全漏洞不会被黑客利用。
Series | Status | Releases | Date |
Icehouse | Under development | Due | Apr 17, 2014 |
Havana | Current stable release, security-supported | 2013.2 | Oct 17, 2013 |
2013.2.1 | Dec 16, 2013 | ||
2013.2.2 | Feb 13, 2014 | ||
Grizzly | Security-supported | 2013.1 | Apr 4, 2013 |
2013.1.1 | May 9, 2013 | ||
2013.1.2 | Jun 6, 2013 | ||
2013.1.3 | Aug 8, 2013 | ||
2013.1.4 | Oct 17, 2013 | ||
2013.1.5 | Mar 20, 2014 | ||
Folsom | EOL | 2012.2 | Sep 27, 2012 |
2012.2.1 | Nov 29, 2012 | ||
2012.2.2 | Dec 13, 2012 | ||
2012.2.3 | Jan 31, 2013 | ||
2012.2.4 | Apr 11, 2013 | ||
Essex | EOL | 2012.1 | Apr 5, 2012 |
2012.1.1 | Jun 22, 2012 | ||
2012.1.2 | Aug 10, 2012 | ||
2012.1.3 | Oct 12, 2012 | ||
Diablo | EOL | 2011.3 | Sep 22, 2011 |
2011.3.1 | Jan 19, 2012 | ||
Cactus | Deprecated | 2011.2 | Apr 15, 2011 |
Bexar | Deprecated | 2011.1 | Feb 3, 2011 |
Austin | Deprecated | 2010.1 | Oct 21, 2010 |
https://wiki.openstack.org/wiki/Security_Notes
总结
Openstack官方一般会通过mailist和wiki不定期发布稳定版本的OSSA和OSSN,作为系统管理员需要及时更新系统,保证这些漏洞不被利用;
Openstack目前稳定版本的生命周期一般少于2年, 比如F版本,2012.2 - 2013.11, 和成熟的系统相比(Linux LTS一般5年以上),有较大差距。一旦版本EOL, 从安全性出发,需要考虑向第三方购买安全服务或者是升级到高版本。
参考资料
Openstack Security Wiki
Openstack Security Guide
OSSA@Launchpad
OSSN@Launchpad
Openstack Releases
相关文章推荐
- Openstack安全更新的流程和机制
- Ubuntu Server 14.04 安装+安全Web服务器(linux+apache+mysql+php)搭建流程(更新)
- 非对称认证方式 可以用在 asp.net webapi 的安全机制里面
- ActiveMQ中的安全机制 [转]
- vue nextTick深入理解---vue性能优化、DOM更新时机、事件循环机制
- 从一个工作流流转中人员设定的例子看WBISF流程引擎所定义的用户授权安全模型
- mysql 正确安全清空在线慢查询日志slow log的流程
- linux系统及服务安全(持续更新中)
- spark 笔记 13: 再看DAGScheduler,stage状态更新流程
- quick-cocos2d-x的热更新机制实现<一>前言
- 如何实现缓存系统的更新机制
- VNC源码阅读--VNC图像更新机制
- 使用租约机制解决缓存数据更新的问题
- 安全更新不能下载的原因
- openstack-nova-API解析流程分析
- openstack-neutron-架构(持续更新)
- mysql查询更新时的锁表机制分析(只介绍了MYISAM)