进行语法、语义分析的技术上，辅以数据流 分析、控制流分析和特有的缺陷分析算法等高级静态分析手段，能够高效的检测出软件源代码中的可能导致严重 缺陷漏洞和系统运行异常的安全问题和程序缺陷，并准确定位告警，从而有效的帮助开发人员消除代码中的缺陷、 培养安全开发意识，提高安全开发水平、减少不必要的软件补丁升级，为软件的信息安全保驾护航。 发起工程检 测 查看工程缺 陷 缺陷审计 派发线下整 对测试环境性能有一定影响 优点 缺点 污点变量1 污点变量a 污点变量4 污点变量b 变量c 污点变量2 变量1 | 污点标记 无害处理 识别污点源 污点传播 污点汇聚点 污点传播阶段 污染过程 处理过程 变量2 污点变量3 如果程序在对输入变 量处理过程中，没有做 好过滤和验证措施，就 有可能导致有害的输入 被传入sink点执行 污点数据是指来自程 序外部的数据，污点数 据有可能包含恶意的攻 击数据 安全测试-镜像扫描 由于云原生“不可变基础设施”的特点，对容器风险的修复必须从镜像上处理才是最有效的。 因此对镜像的安全扫描变得尤其重要。 强大的漏洞扫描 支持双料漏洞库，可检测 的漏洞数大于17w条，提 供 对 容器镜像的扫描能力 ，可扫描发现CNNVD、 CVE等漏洞信息 ， 提 供 详 细的漏洞分析能力联动。 安全风险发现 针对容器镜像内Webshell

5：Serverless 攻击...........................................................................33 2.6.1 事件注入攻击........................................................................................34 2.6 发展，越来越多的应用开发深度依赖 API 之间的相互调用。根据 2023 上半年的 攻击数据显示，攻击者利用 API Key、敏感文件执行、敏感信息读取等手段发起 的攻击次数呈明显上升趋势，占总攻击事件的 1.69%。API 滥用已成为导致企 业 Web 应用程序数据泄露的最常见的攻击媒介，通过攻击 API 来达成攻击目的， 已成为上半年攻防演练中各攻击队最常用的攻击手段之一。 在 5G 核 Serverless 发起攻击，无服务器架构颠覆性的变化，给应用 服务开发商和拥有者带来了全新的安全挑战。路径 5 显示了攻击者利用 Serverless 存在的安全风险进行攻击的路径，可能存在的攻击手段包括：事件 注入攻击、敏感数据泄露攻击、身份认证攻击、权限滥用攻击、拒绝服务攻击和 针对函数供应链的攻击。 云原生安全威胁分析与能力建设白皮书 21 下面我们对威胁全景中攻击路径 1 至路径 5 的具体攻击手段，进行详细的

Knative: ⾮常杰出的 Serverless 平台，Knative Serving 仅仅能运⾏应⽤，不能运⾏函数，还不能称之为 FaaS 平台 Knative Eventing: ⾮常优秀的事件管理框架，但设计有些过于复杂，⽤户⽤起来有⼀定⻔槛 OpenFaaS� ⽐较流⾏的 FaaS 项⽬，但是技术栈有点⽼旧，依赖于 Prometheus 和 Alertmanager 进⾏ Autoscaling，也并⾮最专业和敏捷的做法 有哪些应⽤场景？OpenFunction 还能做什么？ 事件管理框架 本质上来看，事件框架也是⼀个由事件驱动的⼯作负载，那么它本身可以是 Serverless 形式的⼯作负载吗？ 可以⽤ OpenFunction 的异步函数来驱动吗？ ⾃定义⽇志告警 以 Serverless 的⽅式⽤ OpenFunction 异步函数实现⽇志告警 OpenFunction 社区 交流、参与、演进 OpenFunction 使⽤ Knative、Dapr、KEDA 等云原⽣技术驱动具备⾃动伸缩能⼒的同步函数与异步函数 以 Argo Events、Knative Eventing 为参考的轻量级 Serverless 事件框架 K8s 上的图数据库基于 KubeBuilder 的 Operator 实现，解谜图数据库的知识与应⽤ 图、图数据库简介 Nebula Graph! Nebula Operator 上⼿

主动性 被动性 监控 可观察 健康检查 告警 指标 日志 追踪 问题和根因 预警 监控&稳定性 分析&追踪&排错&探索 • 从稳定性目标出发，首先需要有提示应用出问题的手段 • 当提示出现问题后，就需要有定位问题位置的手段，进 一步要有能够指出问题根因、甚至提前就预警的手段。 拓扑流量图：是不是按预期运行 分布式跟踪:哪些调用 故障或者拖慢了系统 监控与告警： 主动告诉我 问题发生了！ 微服务部署后就像个黑盒子，如何发现问题并在 发人员可以清晰的观测到整体分布式应用的详细运 行情况，为高精度运维提供可视化支撑 人工发展阶段：符合人分析问题的习惯 宏观->微观 精细化发展阶段：依靠数据赋能，加强可视化能力，进一步简化运维 监控告警 分布式跟踪链 日志查询 根因分析 响应动作 自动化 高端观察性 各维度统计分析 观察性 Prometheus Skywalking EFK Hadoop Spark Cortex 背后的原因在于特定环境依赖或者运维规范问题渗透到了PaaS本身， 或者大家常说的定制化场景，如果不进行解耦就会有长期存在的矛盾。 • 为了应付定制化，客户需要等待平台研发的排期，因为平台研发需要定制 化处理定制化场景下的软件、运维工具或者规范等等，并需要不断的测试。 • 为了应付各类的环境的问题，势必要求交付人员的能力非常强，也是成本 居高不下的原因之一。 在K8s这种环境中，存在两种定制化的手段：其一是Deployment

10W采集器 20+云平台 采集器 1% CPU 0.01% 带宽开销 ︹ 零 侵 入 ︺ 流 量 采 集 云平台API 容器编排API TKE ACK 知识图谱 变更事件 资源信息 全 景 图 基于应用代码和日志的可观测性 企业混合云 100x ES/InfluxDB性能 1000+台跨Region集群 simplify the growing complexity 10W采集器 20+云平台 采集器 1% CPU 0.01% 带宽开销 ︹ 零 侵 入 ︺ 流 量 采 集 云平台API 容器编排API TKE ACK 知识图谱 变更事件 资源信息 全 景 图 基于应用代码和日志的可观测性 企业混合云 100x ES/InfluxDB性能 1000+台跨Region集群 原力 “不可变基础设施” 服务 simplify the growing SegmentID、URL 关联键值： Pod、Node、 Service、VPC、 VM Metric WEBHOOK DataSource Plugin Tracing Logging 告警 面向各部门视图 与Grafana、Skywalking结合 simplify the growing complexity © 2021, YUNSHAN Networks Technology

ion_seconds 请求 apiserver 的耗时分布，histogram类型，按 照 url + verb 统计 • workqueue_adds_total 各个 controller 已处理的任务总数 • workqueue_depth 各个 controller 的队列深度，表示一个 controller 中的任务的数量，值越大表示越繁忙 • process_cpu_seconds_total 业务应用的监控 Pod内的业务应用的监控 - 两种埋点方式 • Pod 内的业务应用，有两种典型的埋点方案，statsd 和 prometheus sdk，当然，也可以用日志的方式，但是成 本比价高，处理起来比较麻烦，如果业务程序是自己研发团队写的，可控，尽量就别用日志来暴露监控指标 • statsd 出现的时间比较久了，各个语言都有 sdk，很完善，业务程序内嵌 statsd 的 sdk，截获请求之后通过 容器 agent mtail • 指标数据是性价比最高的数据 类型，传输存储成本相对较低 • 日志的处理和存储成本最高， 能用指标解决的尽量就用指标 解决，不要用日志 • 如果是从第三方采购的产品， 我们也尽量要求供应商统一暴 露 prometheus 接口，也别去 处理日志 业务应用依赖的中间件 的监控 业务应用依赖的中间件的监控 • 典型的监控方案分3类，一类是 sidecar

化、界面化、自动化的日志接入方案 5 案例:1000+业务10000+台 主机如何快速实现日志接入？ 业务规模 1000+业务、 10000+业务主机、每天百T日志增量 日志需求 收集业务日志文件用于故障分析与告警监控 收集主机性能数据做容量分析 日志热数据保存七天 历史数据冷备一个月 其他诉求 日志上报不能影响核心业务 数据上报延时可感知 准备ES 安装Filebeat 编写Filebeat配置文件 全网重启filebeat 检测数据是否上报 传统Beats接入流程 配置更改 现网配置是否全部一致？ 日志上报是否有延时？ Filebeat是否资源消耗过多？ Filebeat异常退出如 何处理？ 如何做上报性能调优？ 6 系统架构 云Kafka Api-server2 Consul 云ES Agent-1 Agent-N Agent-1 Agent-N 数据流 配置监听 日志量太大Cpu飙升影响业务 精准控制资源消耗防止异常减少抖动 Es写入性能调优 修改配置文件不断观察数据情况 基于ES压测报告给出专家级es参数优化建议 参数优化体验 修改配置文件、参数调优相对麻烦 全UI化、一站式处理 14 配置UI化 配置UI化开发思路 嵌套式表单 大表单套小表单，所有表单都是以angular组 件形式开发，保证代码的可复用性与质量 配置分级展现 把复杂配置独立成高级选择，并设置默认值，

软件供应链安全事件频发，“核弹级”第三方组件漏洞的影响面和危害大 2020 年12月，美国企业和政府网络突遭“太阳风 暴”攻击。黑客利用太阳风公司（SolarWinds） 的网管软件漏洞，攻陷了多个美国联邦机构及财富 500 强企业网络。2020 年 12 月 13 日，美国政府 确认国务院、五角大楼、国土安全部、商务部、财 政部、国家核安全委员会等多个政府部门遭入侵。 该事件波及全球多个国家和地区的 在未授权的情况下远程执行命令，该漏洞被称为 “核弹级”漏洞。使用 JDK9 及以上版本皆有可能 受到影响。 Spring 框架漏洞 软件下载投毒、SDK/恶意代码污染、基础开源组件漏洞、商业许可证限制 Equifax信息泄露事件 SBOM概述 SBOM的作用 实施 SBOM 有助于揭示整个软件供应链中的漏洞与弱点，提高软件供应链的透明度，减轻软件供 应链攻击的威胁，驱动云原生应用的安全。 通过使用 SBOM 可以 〇 开发团队：用于管理软件资产，在开发早期即可评估安全风险，筛选 适合的组件/软件，并持续更新SBOM； 〇 安全团队：通过提交的SBOM分析软件风险，并通过统一管理进行持 续监控，及时响应安全事件； 〇 法务团队：核查软件授权问题，避免后续公司业务自身权益受到损害。 实践要点 实践要点——与漏洞情报关联 实践要点——拥抱自动化 ——《The Minimum Elements for

• 支持 Ingress 和 Gateway • 推动 UDPA 多协议建 设 核心能力 微服务 性能优化 MOSN 网络层扩展思考和选型 MOE 背景介绍 — 什么是 MOE 处理性能高 （C++） 研发效能高 (GoLang、生态) 高性能、高研发效能、生态打通 MOE = MOSN + Envoy 相互融合，各取所长 在 Service Mesh 领域，Envoy 社区生态粘性 MOE Envoy 和 GoLong 生态打通 维护成本高、可扩展性弱 MoE 背景介绍 — 方案调研 方案名称 优势 劣势 Lua Extension Lua 编写简单业务处理方便 Lua 脚本语言,开发复杂功能不 方便；支持的库（SDK）相对较 少 WASM Extension 跨语言语言支持 （C/C++/Rust）、隔离性、安 全性、敏捷性 处于试验阶段，性能损耗较大； Extension 高 较高 低 活跃 对比：MOE 相比 ext-proc 无需跨进程 gRPC，性能高，易管理； 相比 WASM 无需网络 IO 操作转换成本；相比 Lua 生态好、能 复用现有的 SDK，对于处理上层业务更合适 扩展方案评估 Envoy 社区讨论 MOE 背景介绍 — 方案评估 结论 综合稳定性、性能、成本、社区生态等因素评估，MOE 解决方案无论在当前阶段还是未来都具备一定优势 NanoVisor

MoE 方案介绍 02 MoE 实践效果 03 MoE Roadmap 04 MoE 背景介绍 MoE 是什么 为什么做 MoE 方案调研与分析 MoE 背景介绍 — 什么是 MoE 处理性能高 （C++） 研发效能高 (GoLang、生态) 高性能、高研发效能、生态打通 MoE = MOSN + Envoy 相互融合，各取所长 在 Service Mesh 领域，Envoy 社区生态粘性 MoE Envoy 和 GoLong 生态打通 维护成本高、可扩展性弱 MoE 背景介绍 — 方案调研 方案名称 优势 劣势 Lua Extension Lua 编写简单业务处理方便 Lua 脚本语言,开发复杂功能不方便 支持的库（SDK）相对较少 WASM Extension 跨语言语言支持（C/C++/Rust）、 隔离性、安全性、敏捷性 处于试验阶段，性能损耗较大； Extension 高 较高 低 活跃 对比：MoE 相比 ext-proc 无需跨进程 gRPC，性能高；相比 WASM 无需 网络 IO 操作转换成本；相比 Lua 生态好、能复用现有的 SDK，对于上层 业务处理更合适 扩展方案评估 Envoy 社区讨论 MoE 背景介绍 — 方案分析 结论 综合稳定性、性能、成本、社区生态等因素评估，MoE 解决方案无论在当前阶段还是未来都具备一定优势 NanoVisor