Karmada 完成安全审计！项目成熟度持续升级

CNCF^[1] 和 OSTIF^[2]官方宣布了 Karmada 安全审计结果^[3]。OSTIF 对开源软件的审计，旨在加强开源软件生态系统的安全。作为 CNCF 的孵化项目，Karmada 本次审计得到 CNCF 、OSTIF 和 Shielder 的支持与帮助。

Karmada^[4] 是一个开源 的 Kubernetes 编排系统，用于跨云和集群无缝运行云原生应用程序，为用户提供开放的多云、多集群 Kubernetes 管理。Karmada 社区始终坚持确保社区代码安全、可靠并性能优越。此次安全审计，项目表现出了强大的参与度、活跃的开发状态和对安全的重视，项目的维护人员在整个审查过程中一直积极响应并积极工作。以下是 OSTIF 分享的对 Karmada 的安全审计结果：

审计流程：

Karmada 是 Kubernetes 生态系统的一部分，使用了 Kubernetes 库和实现，除此之外，Karmada 自定义实现及其第三方依赖项的整体安全状况也是本次审计工作的重中之重。Karmada 利用多个组件、CLI 工具和附加组件来扩展标准 Kubernetes 功能，这些功能可以根据部署配置进行定制。因此， Karmada 的攻击场景相对复杂，有必要执行范围威胁建模以评估潜在的攻击面。利用这个定制的威胁模型，结合手动检查、工具分析和动态审查，Shielder^[5]  识别了六个对项目安全有影响的问题。

审计结果：

• 6 个发现

  1 个高风险，1 个中风险，2 个低风险，2 个提示

• 对未来工作的建议

• 整体安全性的长期改善建议

Karmada 项目的安全团队在整个审计过程中一直积极响应并与 Shielder 积极合作，解决修复了报告中列出的问题。他们为项目所做的工作一丝不苟，在问题修复过程中能考虑到对用户以及相关的第三方依赖项和项目的影响。他们发布了必要的安全通告，并告知用户本次审计的影响和提供相应的解决方案。OSTIF 祝他们在 CNCF 毕业之路上一切顺利。

感谢以下个人和团体使这次合作成为可能：

• Karmada 维护者和社区：特别是 Kevin Wang、Hongcai Ren 和 Zhuang Zhang

• Shielder: Abdel Adim “Smaury” Oisfi, Pietro Tirenna, Davide Silvetti

• 云原生计算基金会

本次审计结果标志着 Karmada 社区向 CNCF 下一阶段成熟度又向前迈进了一步，也是 Karmada 社区对于安全性重视和承诺的践行。Karmada 将不断改善升级项目的安全态势，为用户提供更加安全可靠的使用体验。

您可以在 OSTIF 和 CNCF 的博客上阅读更多关于审计的信息。

参考资料

[1] CNCF (Announcing the results of the Karmada security audit): https://www.cncf.io/blog/2025/01/16/announcing-the-results-of-the-karmada-security-audit/

[2] OSTIF(Karmada Audit Complete!): https://ostif.org/karmada-audit-complete/

[3] 安全审计报告: https://ostif.org/wp-content/uploads/2025/01/OSTIF-Karmada-Report-PT-v1.1.pdf

[4] Karmada: https://karmada.io/

[5] Shielder: https://www.shielder.com/blog/2025/01/karmada-security-audit/