Güvenlik Açığı Bilinci

OpenStack zafiyet yönetim takımı

Güvenlikle ilgili konularda ve uyarılarda takipte olmanızı öneririz. OpenStack Güvenlik Portalı, danışma, bildirim, toplantı ve süreçlerin koordine edilebileceği merkezi bir portaldır. Ek olarak, OpenStack Güvenlik Açığı Yönetim Ekibi (VMT) portalı <https://security.openstack.org/#vulnerability-management> `_, OpenStack içindeki iyileştirmeyi ve ayrıca sorumlu olarak açıklanan (özel olarak bildirilen) hataların araştırılması sürecini koordine eder ), hatayı ‘Bu hata bir güvenlik açığı’ olarak işaretleyerek VMT’ye bildirir. Daha ayrıntılı bilgi `VMT işlem sayfası <https://security.openstack.org/vmt-process.html#process> _’de özetlenmiş ve bir OpenStack Güvenlik Danışma Belgesi (OSSA) ile sonuçlanmıştır. Bu OSSA sorunu hem düzeltmeyi hem de hem özgün hatayı hem de yamanın barındığı yeri ilişkilendirerek özetliyor.

OpenStack güvenlik notları

Bir hatalı yapılandırmadan kaynaklandığı veya açıkça OpenStack’in bir parçası olmadığı tespit edilen bildirilen güvenlik hataları OpenStack Güvenlik Notları’na (OSSN’ler) hazırlanır. Bunlar, OpenStack olmayan kimlik sağlayıcı eşleştirmelerinin sağlanması gibi yapılandırma sorunlarını içerir, ancak OpenStack’ın kullandığı platformu etkileyen Bashbug / Ghost veya Venom açıkları gibi kritik meselelerdir. OSSN’lerin mevcut kümesi Güvenlik Notu wiki’sinde yer alır.

OpenStack-discuss mailing list

All bugs, OSSAs and OSSNs are publicly disseminated through the openstack-discuss mailing list with the [security] topic in the subject line. We recommend subscribing to this list as well as mail filtering rules that ensure OSSNs, OSSAs, and other important advisories are not missed. The openstack-discuss mailinglist is managed through http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-discuss. The openstack-discuss uses tags as defined in the Project Team Guide.

Hipervisor eposta listesi

OpenStack’i uygularken ana kararlardan hangisi hangi hipervizör’un kullanacağıdır. Seçtiğiniz hipervizör(ler) ile ilgili tavsiyeleri öğrenmenizi öneririz. Birkaç genel hipervizör güvenlik listesi aşağıda belirtilmiştir:

Xen:

http://xenbits.xen.org/xsa/

VMWare:

http://blogs.vmware.com/security/

Diğerleri (KVM ve dahası):

http://seclists.org/oss-sec