以SBOM 为基础的 云原生应用安全治理 董毅@悬镜安全 一瓶“牛奶”——你会喝吗？ 安全的保障——成分清单和监管机构 • 成分清单用于实现可见性（透明度） • 监管机构保障成分清单的可信度 软件物料清单 • 软件物料清单（SBOM, Software Bill Of Material）是代码库中所有开放源代码和第三方组件的清单。 • SBOM能够列出管理这些组件的许可证，代码库中使用的组件的版本及其补丁程序状态。 使用的组件的版本及其补丁程序状态。 云原生应用安全风险面 第三方组件 开源组件 应用安全 风险面 Web通用漏洞 SQL注入、命令执行、XXE、XSS等OWASP TOP10 业务逻辑漏洞 水平/垂直越权、短信轰炸、批量注册、验 证码绕过等 合规需求、安全配置 未能满足安全合规、未建立安全基线、敏 感数据泄漏 开源组件/闭源组件 CNNVD、CNVD、CVE等 开源许可风险 软件漏洞、恶意程序、敏感信息泄漏、不安全配 置、仓库漏洞、不可信镜像 容器环境 开 发 模 式 ： 瀑 布 > 敏 捷 > D e v O p s 应 用 架 构 ： 大 型 系 统 > S O A > 微 服 务 代 码 实 现 ： 闭 源 > 开 源 > 混 源 服 务 器 ： 物 理 机 > 虚 拟 化 > 容 器 化 聚焦到应用系 统风险源头 API安全性 失效的用户认证、安全性、错误配置、注入等

数字签名在云原生应用安全中的实践 小马哥 Agenda 1 2 3 何为数字签名，数字签名为何？ 为何要对容器镜像进行签名 使用 cosign 对容器镜像进行签名验证 4 Demo show 小美，等我 小美， 不要等我 一段唯美爱情的悲伤结局！ 截获 篡改 防止数据被篡改，保证数据的 完整性、机密性，从而提高安 全性！ app app app 云原生时代：容器是核心，镜像是灵魂

Li Ma 云原生企业级安全的最佳实践 Cloud Native Security Cluster Security • Securing the cluster components that are configurable • Securing the applications which run in the cluster AKS Security Network Security Store CSI Driver Log & Monitor Log & Monitor Azure Policy Secure Center Li Ma Microsoft 云原生企业级安全的最佳实践

中国移动磐舟DevSecOps 平台云原生安全实践 刘斌 中国移动信息技术中心 01 磐舟DevSecOps平台概况 02 磐舟DevSecOps平台安全能力 03 磐舟DevSecOps实践总结 目 录 目录 CONTENT 磐舟DevSecOps平台定位 基于云原生打造一站式DevSecOps平台，致力于解决企业在数字化转型中的研发效能提升问题，提供从 “需求-开发-测试 沉淀IT软件资产，核心代码掌控 • 提升开发交付效率 一键 上磐基 构建 打包 容器 化镜 像 自动化 部署 研发安 全扫描 需求 设计 敏捷 开发交付协同 云原生DevSecOps 安全工具链 国产化 双平面调度 敏捷开 发过程 统一代 码仓库 依赖制 品仓库 统一 镜像库 云原生 验证环境 磐基 生产运行 核心价值 核心能力 灵活的低代码能力 实现页面组件、数据组件、功能组件的快 写调试代码，可团队协作。 安全代码仓库托管 统一的安全代码仓库，按项目级别分级管 理，落盘加密，云IDE防护，显示水印等多 重防护。 云原生虚拟化开发集群 利用虚拟化技术实现开发集群，分钟级交 付，突破有限资源开发集群供给。 原生使用模式，开发组件一键部署 云原生CI持续集成 使用Dockerfile进行云原生方式的CI构建， 拓展形成ARM、x86双架构流水线，底层 安全漏洞统一修复 全面云原生安全

1 云原生安全威胁分析与 能力建设白皮书 中国联通研究院 中国联通网络安全研究院 下一代互联网宽带业务应用国家工程研究中心 2023 年 11 月 版权声明 本报告版权属于中国联合网络通信有限公司研究院，并受法 律保护。转载、摘编或利用其他方式使用本报告文字或者观点的， 应注明“来源：中国联通研究院”。违反上述声明者，本院将追 究其相关法律责任。 云原生安全威胁分析与能力建设白皮书 云原生安全威胁分析与能力建设白皮书 1 目 录 一、云原生安全概述................................................................................................9 1.1 云原生及云原生安全................................................................. ................................ 10 1.1.2 云原生安全........................................................................................... 12 1.2 云原生安全发展.............................................

© 2021, YUNSHAN Networks Technology Co., Ltd. All rights reserved. 云原生应用可观测性实践 向阳 @ 云杉网络 2021-12-08 simplify the growing complexity © 2021, YUNSHAN Networks Technology Co., Ltd. All rights reserved complexity © 2021, YUNSHAN Networks Technology Co., Ltd. All rights reserved. 3.0 原力：内生的可观测性能力 星球大战 既然每个应用都需要可观测性能力 simplify the growing complexity © 2021, YUNSHAN Networks Technology Co., Ltd. All rights 云原生时代的机遇和挑战 交换机 防火墙 负载均衡 服务器 单体应用 SLB / NAT SLB 云 原 生 传统网络 连接服务器 (#IP) 服务器上架 (数天) 交换-路由 (物理) 云原生网络 连接微服务 (#API/函数) 微服务CI/CD (数分钟) Mesh-NAT-SLB-... (Overlay) 传统应用 云原生应用 è规模100xè è速度1000xè è距离10xè 80%看代码

rights reserved. 构建统一的云原生应用 可观测性数据平台 DeepFlow在混合云中的实践总结 向阳@云杉网络 2022-04-09 1. 可观测性数据平台的挑战 2. 解决数据孤岛：AutoTagging 3. 降低资源开销：MultistageCodec 4. 统一数据平台的落地思路及案例 构建统一的云原生应用可观测性数据平台 看云网更清晰 Simplify the telegraf 1. 可观测性数据平台的挑战 2. 解决数据孤岛：AutoTagging 3. 降低资源开销：MultistageCodec 4. 统一数据平台的落地思路及案例 构建统一的云原生应用可观测性数据平台 看云网更清晰 Simplify the growing complexity. OpenTelemetry的方法 统一的上下文 以追踪为核心 看云网更清晰 Simplify scope」的Metrics 例如：响应Request A的实例在一段时间内做了多少次GC？ ① 看云网更清晰 Simplify the growing complexity. 数据打通并不简单 ② 应用、系统、网络的Metrics之间 例如：某个Service的Pod的QPS、IOPS、BPS分别是多少？ 例如：Pod所在的KVM宿主机的CPU、内存指标？ ② 看云网更清晰 Simplify

云原生实战 Helm 及 Helm 应用仓库简介 李辉 — KubeSphere — 后端研发 _ by QingCloud Helm 及其应用仓库简介 如何开发一个 Helm 应用 KubeSphere 应用开发 1 2 3 _ by QingCloud 应用管理 5 应用仓库管理 4 Helm 及其应用仓库简介 • Helm 是 Kuberetes 的包管理器 类似于 的 yum, 用于管理 Charts Helm Chart 是用来封装 Kubernetes 应用程序的一系列 YAML 文件 • 安装 Helm 在 https://github.com/helm/helm 上下载二进制文件 _ by QingCloud Helm 及其应用仓库简介 • 应用仓库: 管理和分发 Helm Charts. • 安装 Harbor 1. helm repo Harbor12345 _ by QingCloud 如何开发一个 Helm 应用 • helm create hello-chart: 创建 Chart 目录 chart.yaml: 声明了当前 Chart 的名称、版本等基本信息 values.yaml: 提供应用安装时的默认参数 templates/: 包含应用部署所需要使用的YAML 文件，比如 Deployment 和 Service等

陈鹏 开源多集群应用治理项目 Clusternet 在多点生活的云原生实践 陈鹏 多点生活 平台架构-基础架构工程师 个人简介 • 开源项目 MOSN 核心 Committer • 主要负责容器服务整体架构的设计与开发 • 主导 ServiceMesh 落地相关工作 目录 多集群管理现状 Operator 迭代 反思&重构 整体架构 • 多单元 • 多集群 • 多分组 多分组 • 多种公有云（腾讯云、微软 云等） 核心组件-Symphony CI/CD 业务方使用 对外提供统一API 运行情况展示 应用在多集群运 行状态收集 应用维护，日志 查看，故障排查 应用发布 Operator API • 对使用方屏蔽多单元、多集群的存在 • 提供简单的、无需运维介入的日常维护功能 • 结合监控，可以查看每个实例的运行情况 • 支持离线日志查看，减少对容器的理解

带给你“一份应用需求定义，到处交付” 的 云原生应用交付体验 Photo 王国东(骁奕) 技术专家 阿里云 张健川(聪言) 技术专家 阿里云 王国东(骁奕) One Definition, Deliver Anywhere 交付同学的烦恼 !"#$A 我们还是个创业公司运维 经验少，产品所有依赖的中 间件服务资源都想⽤阿⾥公 共云上的 %&#$B 我们⾃⼰的商业经营数据 混合云交付 海外友商交付 我需要掌握阿⾥云 产品 & 技术 & 计量 计费体系…… 要在AWS上海外交 付？这个我还是第 ⼀次遇到，有谁可 以教教我？ 混合云？这个 ⽹络拓扑是？ ？？ 应用交付问题分析 服务依赖 Database Storage MessageQueue Micro Service ... 组件 • Specification：CPU、Mermory、StorageType … 交付环境 • 公有云: 阿里云、华为云、腾讯云、AWS、… • 专用云：政务、税务、电信、… • 自建机房：VMWare、OpenStack、…ost Effectiveness 云原生-应用交付的难题 1. 服务依赖关系复杂，编排困难 2. 云厂商林立，同一个款服务不同厂商的开通、 运维各不同相同， 并且云产品规格繁多难以选 择。 3. 交付环境复杂，交付效率低下，难以规模化复