Kubernetes Platform v2.5发布 04 04 04 04 05 05 05 05 DEF CON将举办全球最大规模AI黑客大赛 微软将用近一年时间完成对0-day Secure Boot漏洞的修复工作 06 06 04 开源热点 芬兰南萨沃计划建立开源能力中心 Decidim参与式民主的开源平台正在被日本广泛使用 图林根继续支持开源替代方案 07 07 08 09 10 11 状态提供可操作的补救措施。具体功能包括： • 实时态势管理，发现基于事件的错误配置； • 汇总并找到Kubernetes RBAC中的过度权限； • 防止部署不合规的工作负载，减少潜在爆炸 半径； • 扫描漏洞并为运行的容器生成SBOM。 OpenSIL的目标不是取代UEFI，而是集成在 其他主固件中，比如核心启动、重启、Forti- BIOS，可以与主固件静态链接，绕过任何主 固件协议。 Googl • 支持控制Helm chart的安装顺序。 全球开源态势洞察｜第十期 03 Azure AKS正式推出网络方案 Azure CNI Overlay Azure CNI Overlay可以利用覆盖的网络来降低 IP地址的使用率，同时提供更好的性能和可扩 展性。借助该功能，AKS集群可以扩展至非常 大的规模，并且用户定义的私有CIDR还可以在 不同AKS集群中重复使用，从而大幅扩展了 AK

来闭源处理，从而不利于开放 式创新，也降低了可维护性。更为健康的针对开源产品的采购模式，应该平衡产品指标，技术竞争力以及产品 本身的可维护性。 段夕华：不知道 21 年底所爆发的 log4j 漏洞，是否会让公司购买开源产品更加保守谨慎？开源安全任重而道远。 3.6 受访者所从事的技术方向 受访者中非技术人员占比最高，后端开发次之，与去年相比，非技术人 员的比例大幅提升，说明开源已经越来越受到各行各业的关注。 8 开源安全与合规 2.8.1 CVE 漏洞风险 Gitee 采用棱镜七彩 FossEye 静态扫描了 1.5 万 个 Gitee 平台上具有代表性的优质推荐开源项目仓库， 结果显示有超过 93% 不存在 CVE 漏洞风险。 其中，在所有存在 CVE 漏洞风险的项目中，存在一个 CVE 漏洞的占比为 18.51%，存在超过 10 个 CVE 漏洞的占比 2.58%。 2021 中国开源年度报告 大企业员工用户，扩大用户基数 ；另一方面，通过 SLG 销售模式去面向中大型企业进行大单交易。 3.2.4 成熟阶段：维持开源社区运行 在项目成熟阶段，供应商主要任务是发布新版本、提供漏洞修复、维护社区的运行。开源社区是开源项 目的根基。自由包容、积极活跃的开源社区支持项目持续稳定的发展与迭代。 图表 17 ：开源项目生命周期 资料来源：云启资本 3.3 商业化过程中的风险点

technical competitiveness, and maintainability of the product itself. 段夕华：不知道 21 年底所爆发的 log4j 漏洞，是否会让公司购买开源产品更加保守谨 慎？开源安全任重而道远。 Duan Xihua: I wonder if the log4j vulnerability in late 2021 will Source Security and Compliance 2.8.1 CVE 漏洞风险 CVE Vulnerability Risks Gitee 采用棱镜七彩 FossEye 静态扫描了 1.5 万 个 Gitee 平台上具有代表性的优质推荐开 源项目仓库，结果显示有超过 93% 不存在 CVE 漏洞风险。 Gitee used Prism Seven FossEye to statically showed that over 93% were not at risk for CVE vulnerabilities. 其中，在所有存在 CVE 漏洞风险的项目中，存在一个 CVE 漏洞的占比为 18.51%，存在超 过 10 个 CVE 漏洞的占比 2.58%。 Of the projects with CVE vulnerabilities, 18.51% have one CVE vulnerability

网，然后让工程师上门 “维修”， 谎称光猫损坏，需要花 299 元 换新。更换完后，联通再在后 台恢复用户的网络。 员工盗用公司游戏源代码 中国人民大学一名硕士毕业生涉嫌在校期间非法获取全校学生的个人信息， 并利用这些信息制作了一个给学生颜值打分的网站。 针对 “中国人民大学部分学生信息被非法获取” 的情况，海淀警方接到报警 后立即开展调查。 经查，嫌疑人马某某（男，25 岁，该校毕业生）涉嫌非法获取该校部分学生 后就开始上线经营。 创建颜值打分网站——结局很“刑” 一年私吞 260 余万元 民警随即展开工作，最终嫌疑人曹某迫于压力主动投案自首。 曹某是该公司的软件工程师，他坦白称，去年 8 月发现公司网站后台的漏洞， 用母亲和朋友身份证注册了两个 ETC 账户。一年内两个账户分别从公司提取 来了 230 余万元和 36 万元，总计 260 余万元。最终曹某因涉嫌盗窃罪被 依法刑事拘留。 “换皮”上线 半年盈利 年 8 月在公众 号宣布无限期停止更新，原因是收到了 某集团律师函，对方称 “李跳跳” APP 涉嫌不正当竞争，对旗下的浏览器产生 影响，并要求四十八小时内全网下架 “李跳跳”。 “李跳跳” 是一款利用无障碍权限进行 跳过 APP 开屏广告的 Android 辅助 应用，无需联网，免费使用。 除了 “李跳跳”，其他同类开屏广告应用 也都在同一时期收到了律师函，比如 “大圣净化”、“一指禅” 和 “叮小跳”。

同时，从学术角度来讲，各种领域专用模型的技术最优解也在逐渐趋同。应用开发者越来越 不需要了解模型的底层技术，只需要懂得如何设计自己应用的任务流，懂一点点 COT 系列的 prompt engineering 的技巧，就可以利用 Maas（Model as a service）、Aaas（Agent as a service）这样的平台，如玩乐高一般搭建自己的 AI 云原生应用。 2. 算力层深挖定制化、低能耗的可能性，但固化 在这个方向的持续投入下，我们很可能会迎接一个介于 RNN 和 Transformer 之间的“新王”。 因此，算力层短时间内的主题仍然是“半通用化”“高算力”“低能耗”。 3. 合成数据驱动新产业链 早有机构预测，人类社会可利用训练数据会在 2026 年耗尽。这可能还是一个乐观估计。光 头哥 Tibor Blaho 还曾爆料，OpenAI 用于训练“猎户座“的数据中，已经包含了由 GPT-4 和 O1 产出的合成数据。 创作者利用 AI 生成内 容，大量的用户访问这些内容；另一种模式是用户的问题有很高比例是重复的，例如拍照搜题、 生成调研报告等。 总体来说，目前 AI 应用尚处于“iPhone 1”时代，模型能力、应用生态、用户习惯都在快 速进化中。所谓“AI 一天，人间一年”，即使是 AI 专家，也很难跟上所有最新的科研进展。大 模型的时代才刚刚开始，预测未来的最好方式就是持续学习、探索、利用 AI 能力，创造未来。

www.iresearch.com.cn 来源：艾瑞咨询研究院自主研究及绘制。 开源软件的发展理念（二） 通过海量用户和开发者汇聚创意和检查漏洞，由市场自然选 择最优的发展路径——与“大教堂”相反的“集市”模式 Eric S·Raymond所著的《大教堂与集市 The Cathedral & the Bazaar》被誉为开源运动的“圣经”。书中所谓的“大教堂” 言至关重要，后期将蕴含较大的开源风险；二是该软件是否具备良好运行的开源社区以支持其后续发展，如果不是，则用 户可能无法持续获取开源本身的和细心创造价值。此外，有开源软件代码公开的特性，一些安全漏洞易被发现和利用，可 能带来额外的IT和数据风险，其他值得关注的因素包括技术先进性、运维能力等。 企业使用开源软件的选型要素 开源软件依赖于开源社区 进行更新，由此需要关注 开源社区的参与度、代码 贡献度、文档数等指标判 活跃的开源企业一般为“BATH”四大综合科技企 业以及其他互联网、云计算企业等 从可行性角度上讲，上述企业具备较强的技术、人才和资金 能力，能够自主进行或支持大规模开源运营 从优化产品方面，如前文所述，开源能够帮助企业利用开源 社区资源进行产品优化和升级，提升竞争力 从国内市场状况上看，科技企业、云服务企业正处于激烈的 市场竞争中，开源为企业带来市场影响力、人才吸引力方面 的提升，为企业带来各种隐性收益 从国内产

2.负责对安全事件应急响应和溯源分析，保证核⼼业务稳定运⾏
3.跟踪安全动态，研究前沿安全技术，对互联⽹重⼤安全漏洞进⾏响应分析



职位要求：

1.⼤学本科及以上学历，3年以上云安全相关从业经验；

2.熟悉常⻅攻击⽅式和防御措施，包括漏洞及漏洞成因、渗透思路和对应防御⽅法；

3.熟悉隐私和数据安全，了解数据分级分类与相关技术和产品；

4.具备脚本编写和代码编写能⼒，熟悉⾄少⼀种脚本语⾔

延伸能力：包/发布管理 涵盖目前流行的包/发布管理器，包含 Maven、Go、RPM、NPM、PyPI 等；支持源代码和二进制文件的版本发布 Gitea 延伸能力：依赖项扫描 自动扫描代码仓的依赖库，发现有漏洞的版本，并给出升级或替换建议，及时发现和解决安全隐患 扫描结果列表 扫描结果详情 支持扫描的语言 包括但不限于 Go、NodeJS、C#、Rust、Java、PHP、Python、Ruby 等

JumpServer 堡垒机助⼒⾏业 云安全运维 JumpServer 部分公开案例 • ⻓期使⽤ JumpServer 堡 垒 机 ⽼ 旧 的 社 区 版； • 早期版本功能陈旧， 且安全漏洞多； • 开源社区针对早期版 本的⽀持严重滞后。 版本升级 超⼤规模资产纳管 补强平台能⼒ 专业服务⽀持 • 纳 管 资 产 数 量 超 过 数万台； • ⽤户数量⼤，链接负 载⾼；

SOLUTIONS 数据中台，构建在数据湖之上，连接孤岛数据，构建统一的指标管理和抽象数据公共层，对外通过接口提供数据服务。 数据中台解决方案 26 方案价值 方案特色 打造金融级分布式技术平台 利用分布式框架与容器云中间件等成熟的云原生分布式架构体系，打 造满足金融业务特性的企业级技术平台。 掌握自主可控的分布式体系 形成并逐步完善分布式架构能力，掌握分布式体系设计、落地、实施能 力以及可靠运维能力。 司建立企业级统一的数据指标体系 及数据模型 构建统一的数据分析体系，快速提升 对业务数据的洞察与分析应用能力， 实现业务协同发展 CASE 客户需求： 提升业务服务化程度 提升系统研发效率和质量 提升资源利用率，降低资源使用成本 解决方案： 业务系统合理的微服务拆分技术赋能 无侵入方式实现业务全链路监控 业务API实现统一管理 客户收益： 稳步推进企业服务化架构升级 提升应用研发效率和质量 全国性证券交易所。 华泰证券 CASE 金融行业 33 客户需求： 提升业务需求响应速度 降低开发测试上线周期 提升资源利用率 解决方案： 提供端到端微服务咨询服务 构建企业级的分布式底座框架 客户收益： 提升研发迭代速度，快速响应新需求 提升了业务连续性及可靠性 提高了上线的部署效率 提高了硬件资源利用率 新中国第一家股份制证券公司。 申万宏源 客户需求： 提升部门数据处理能力 公司内部数据可视化管理及应用，增