spiffe/spire

 [](https://bestpractices.coreinfrastructure.org/projects/3303) [](https://github.com/spiffe/spire/actions/workflows/pr_build.yaml) [](https://goreportcard.com/report/github.com/spiffe/spire) [](https://github.com/spiffe/spiffe/blob/main/MATURITY.md#production) SPIRE（[SPIFFE](https://github.com/spiffe/spiffe) Runtime Environment）是一个 API 工具链，用于在各种托管平台上的软件系统之间建立信任。SPIRE 暴露了 [SPIFFE Workload API](https://github.com/spiffe/go-spiffe/blob/main/proto/spiffe/workload/workload.proto)，该 API 可以对正在运行的软件系统进行证明，并向其签发 [SPIFFE IDs](https://github.com/spiffe/spiffe/blob/main/standards/SPIFFE-ID.md) 和 [SVID](https://github.com/spiffe/spiffe/blob/main/standards/SPIFFE-ID.md)。这反过来允许两个工作负载之间建立信任，例如通过建立 mTLS 连接或通过签名和验证 JWT token。SPIRE 还可以使工作负载安全地向 secret store、数据库或云提供商服务进行身份验证。 - [获取 SPIRE](#get-spire) - [了解 SPIRE](#learn-about-spire) - [与 SPIRE 集成](#integrate-with-spire) - [为 SPIRE 做贡献](#contribute-to-spire) - [延伸阅读](#further-reading) - [安全](#security) SPIRE 是 [Cloud Native Computing Foundation](https://cncf.io) (CNCF) 的一个[毕业](https://www.cncf.io/projects/spire/)项目。如果您是一个希望帮助塑造容器化封装、动态调度和面向微服务技术演进的组织，请考虑加入 CNCF。 ## 获取 SPIRE - SPIRE 的预构建版本可以在 [https://github.com/spiffe/spire/releases](https://github.com/spiffe/spire/releases) 找到。这些版本包含 SPIRE Server 和 SPIRE Agent 二进制文件。 - 已发布 [spire-server](https://ghcr.io/spiffe/spire-server)、[spire-agent](https://ghcr.io/spiffe/spire-agent) 和 [oidc-discovery-provider](https://ghcr.io/spiffe/oidc-discovery-provider) 的容器镜像。 - 或者，您可以[从源代码构建 SPIRE](/CONTRIBUTING.md)。 ## 了解 SPIRE - 在尝试 SPIRE 之前，最好先了解其[架构](https://spiffe.io/spire/)和设计目标。 - 准备好开始后，请参阅 Kubernetes、Linux 和 MacOS 的[快速入门指南](https://spiffe.io/spire/try/)。 - 在 [spire-examples](https://github.com/spiffe/spire-examples) 和 [spire-tutorials](https://github.com/spiffe/spire-tutorials) 仓库中有几个演示 SPIRE 用法的示例。 - 请查看 [ADOPTERS.md](./ADOPTERS.md) 以获取生产环境 SPIRE 采用者列表、生态系统概览和用例。 - 请参阅 [SPIRE Roadmap](/ROADMAP.md) 以获取计划功能和增强功能的列表。 - [加入](https://slack.spiffe.io/) Slack 上的 SPIFFE 社区。如果您对 SPIRE 的工作原理或如何启动和运行有任何疑问，[SPIFFE Slack channels](https://spiffe.slack.com) 是提问的最佳场所。 - 下载关于 SPIFFE 和 SPIRE 的免费书籍“[Solving the Bottom Turtle](https://spiffe.io/book/)”。 ## 与 SPIRE 集成 - 请参阅 [Extend SPIRE](https://spiffe.io/spire/docs/extending/) 以了解高度可扩展的 SPIRE 插件框架。 - 官方维护的用于与 [SPIFFE Workload API](https://github.com/spiffe/spiffe/blob/main/standards/SPIFFE_Workload_API.md) 交互的客户端库可在 [Go](https://github.com/spiffe/go-spiffe/tree/main) 和 [Java](https://github.com/spiffe/java-spiffe) 中使用。有关官方和社区库以及代码示例的完整列表，请参阅 [SPIFFE Library Usage Examples](https://spiffe.io/spire/try/spiffe-library-usage-examples/)。 - SPIRE 提供了 [Envoy](https://envoyproxy.io) [Secret Discovery Service](https://www.envoyproxy.io/docs/envoy/latest/configuration/security/secret) (SDS) 的实现，以便与 [Envoy Proxy](https://envoyproxy.io) 配合使用。SDS 可用于透明地在 Envoy 中安装和轮换 TLS 证书和信任包。有关更多信息，请参阅 [Using SPIRE with Envoy](https://spiffe.io/spire/docs/envoy/)。 有关支持的集成版本，请参阅 [Supported Integrations](/doc/supported_integrations.md)。 ## 为 SPIRE 做贡献 SPIFFE 社区维护着 SPIRE 项目。有关各种 SIG 和相关标准的信息可以在 中找到。 - 请参阅 [CONTRIBUTING](https://github.com/spiffe/spire/blob/main/CONTRIBUTING.md) 以开始。 - 使用 [GitHub Issues](https://github.com/spiffe/spire/issues) 请求功能或提交错误。 - 请参阅 [GOVERNANCE](https://github.com/spiffe/spiffe/blob/main/GOVERNANCE.md) 了解 SPIFFE 和 SPIRE 治理政策。 ## 延伸阅读 - [Scaling SPIRE guide](/doc/scaling_spire.md) 涵盖了设计指南、建议和部署模型。 - 有关 SPIRE 与相关系统（如 secret store、身份提供商、授权策略引擎和服务网格）的比较说明，请参阅 [comparisons](https://spiffe.io/spire/comparisons/)。 ## 安全 ### 安全评估 一家第三方安全公司 ([Cure53](https://cure53.de/)) 于 2021 年 2 月完成了对 SPIFFE 和 SPIRE 的安全审计。此外，[CNCF Technical Advisory Group for Security](https://github.com/cncf/tag-security) 在 2018 年和 2020 年对 SPIFFE 和 SPIRE 进行了两次评估。请在下方查找报告和支持材料，包括威胁模型演练结果。 - [Cure53 Security Audit Report](doc/cure53-report.pdf) - [SIG-Security SPIFFE/SPIRE Security Assessment: summary](https://github.com/cncf/sig-security/tree/main/community/assessments/projects/spiffe-spire) - [SIG-Security SPIFFE/SPIRE Security Assessment: full assessment](https://github.com/cncf/sig-security/blob/main/community/assessments/projects/spiffe-spire/self-assessment.md) - [Scrutinizing SPIRE to Sensibly Strengthen SPIFFE Security](https://blog.spiffe.io/scrutinizing-spire-security-9c82ba542019) ### 报告安全漏洞 如果您在 SPIRE 中发现漏洞或潜在漏洞，请通过 告知我们。我们将发送确认邮件以确认您的报告，并在我们确定问题（无论阳性或阴性）时发送另一封邮件。

标签：CNCF, DevSecOps, EVTX分析, Go 语言, JSONLines, Kubernetes 安全, Python工具, SPIFFE, SPIRE, SVID, web渗透, X.509 证书, 上游代理, 域名收集, 子域名突变, 微服务安全, 日志审计, 服务身份, 模型鲁棒性, 模拟器, 自动证书轮换, 节点证明, 误配置预防, 请求拦截, 跨平台认证, 身份与访问管理, 零信任, 零信任架构