Anfälligkeitsbewusstsein

OpenStack Vulnerability Management Team

Wir empfehlen Ihnen, sich über Sicherheitsfragen und Advisorien zu informieren, sobald sie veröffentlicht werden. Das OpenStack Security Portal <https://security.openstack.org/>`_ ist das zentrale Portal, in dem Advisories, Notizen, Meetings und Prozesse koordiniert werden können. Darüber hinaus koordiniert das OpenStack Vulnerability Management Team (VMT) Portal <https://security.openstack.org/#vulnerability-management>`_ die Sanierung innerhalb von OpenStack sowie den Prozess der Untersuchung von gemeldeten Bugs, die verantwortungsvoll (privat) an die VMT offenbart werden, indem sie den Bug als ‚This bug is a security vulnerability‘ markiert. Weitere Details werden in der VMT-Prozessseite beschrieben und führt zu einem OpenStack Security Advisory (OSSA). Diese OSSA skizziert das Problem und das Update, sowie die Verknüpfung sowohl mit dem ursprünglichen Fehler als auch mit dem Ort, an dem der Patch gehostet wird.

OpenStack Sicherheitshinweise

Berichtete Sicherheitsfehler, die das Ergebnis einer Fehlkonfiguration sind oder nicht strikt Teil von OpenStack sind, werden in OpenStack Security Notes (OSSNs) verfasst. Dazu gehören Konfigurationsprobleme wie die Gewährleistung von Identity Provider-Zuordnungen sowie Nicht-OpenStack, aber kritische Probleme wie die Bashbug/Ghost- oder Venom-Schwachstellen, die die Plattform beeinflussen, die OpenStack nutzt. Der aktuelle Satz von OSSNs befindet sich im Security Note Wiki.

OpenStack-Diskussionsmailingliste

Alle Bugs, OSSAs und OSSNs werden öffentlich über die openstack-discuss Mailingliste mit dem Thema [security] in der Betreffzeile verbreitet. Wir empfehlen Ihnen, diese Liste sowie Mail-Filter-Regeln zu verwenden, damit Sie die OSSNs, OSSAs und andere wichtige Hinweise nicht verpassen. Die openstack-discuss Mailingliste wird über http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-discuss verwaltet. Die openstack-discuss-Liste hat eine hohe Verkehrsrate, und die Filterung wird im Thread discuss uses tags as defined in the `Project Team Guide <https://listdocs.openstack.org/pipermail/openstack-dev/2013-November/019233.html diskutiert.

Hypervisor Mailinglisten

Bei der Implementierung von OpenStack ist eine der Kernentscheidungen welcher Hypervisor genutzt wird. Wir empfehlen Ihnen, sich über die von Ihnen gewählten Hypervisoren zu informieren. Mehrere gemeinsame Hypervisor Sicherheitslisten sind unten:

Xen:

http://xenbits.xen.org/xsa/

VMWare:

http://blogs.vmware.com/security/

Andere (KVM und mehr):

http://seclists.org/oss-sec