ü 过程持续验证 !"#$%&'( !"#$)*+,- !"#$%&' 安全开发-代码扫描SAST 源代码审计针对源代码缺陷进行静态分析检测。它在对目标软件代码进行语法、语义分析的技术上，辅以数据流 分析、控制流分析和特有的缺陷分析算法等高级静态分析手段，能够高效的检测出软件源代码中的可能导致严重 缺陷漏洞和系统运行异常的安全问题和程序缺陷，并准确定位告警，从而有效的帮助开发人员消除代码中的缺陷、 检测探针语言强相关 漏洞覆盖度依赖测试覆盖度 对测试环境性能有一定影响 优点 缺点 污点变量1 污点变量a 污点变量4 污点变量b 变量c 污点变量2 变量1 | 污点标记 无害处理 识别污点源 污点传播 污点汇聚点 污点传播阶段 污染过程 处理过程 变量2 污点变量3 如果程序在对输入变 量处理过程中，没有做 好过滤和验证措施，就 有可能导致有害的输入 被传入sink点执行 ，可扫描发现CNNVD、 CVE等漏洞信息 ， 提 供 详 细的漏洞分析能力联动。 安全风险发现 针对容器镜像内Webshell 、 病毒、木马进行检测；针 对 镜 像 文件中的SSH密钥 、 环境变量中的密码等敏感 信息进行发现，防止敏感 信息泄露。 构建历史命令审计 对镜像文件构建的历史命 令进行审计扫描，对高危 操作进行标记并告警。 镜像发布管控 镜像在被发布之前，依据 安全策略对镜像进行检测

、微服务的监测和异 常检测等。  管理模式的变化 云原生安全威胁分析与能力建设白皮书 15 云原生应用的快速迭代和部署频率也对安全治理模式提出了新的要求。传统 的安全治理模式通常是基于静态的规则和策略，针对云原生 DevOps 安全治理 需要采用持续安全集成和交付的实践，结合自动化的安全测试、漏洞扫描和合规 性检查等工具，以确保安全策略和控制的持续有效性。 面对这些新的挑战，国 攻击其他服务：集群中往往会有一些通过 ClusterIP 暴露在内部的 Service，这些服务在集群外部是扫描不到的，但是在内部 pod 中通过前文提到 的信息搜集方法就有可能发现一些敏感服务，比如通过扫描端口或查看环境变量 等。 2.4.5k8s 管理平台攻击 除了官方推出的 Dashboard，还有很多 k8s 管理平台，比如 Rancher、 KubeSphere、KubeOperator 等，k8s 管理平台存在未授权访问、弱口令登 全局信息泄露：无服务器计算架构中函数调用的不同服务通常也会被其它用 户的函数调用来提供服务，无法像传统应用程序使用单个集中式配置文件存储的 云原生安全威胁分析与能力建设白皮书 35 方式，因此开发人员多使用环境变量替代，使服务使用的敏感数据可能会留在容 器中，并可能在函数的后续调用期间暴露。攻击者可以利用无服务器计算架构的 这一特点，通过恶意程序植入等手段，获取服务中的全局敏感数据，造成敏感数 据泄露。

调整策略，解决新问题并及时隔离或者 解决！ DevSecOps 标准化能力-承载无忧-E2E云原生纵深安全保障-4-技术建议方案 技术 说明 优点 缺点 SAST(静态应用程序 安全测试) 白盒测试，通过污点跟踪对源代码或者二进制程序（也包括Docker镜像等） 进行静态扫描，尽可能前置，在IDE编写代码或者提交代码时进行，将极 大优化整体效率和成本 可以无视环境随时可以进行，覆盖漏洞类型全面， 可以精确定位到代码段 费和成本的提升。在离线混部集群，通过动态调度削峰填谷，当在线集群的使用率处于波谷时段，将离线任务调度到 在线集群，可以显著的提高资源的利用率。然而，Hadoop Yarn目前只能通过NodeManager上报的静态资源情况进行分配， 无法基于动态资源调度，无法很好的支持在线、离线业务混部的场景。 • 操作系统镜像及部署复杂性拖慢应用发布：虚拟机或裸金属设备所依赖的镜像，包含了诸多软件包，如HDFS、Spark、 主要体现在Yarn的复杂性 主要体现在领域专业性上 应用改造成本高：将运行在Hadoop平台的大数据应用迁移到云原生平台，一方面需要大数据团队将业务应用进行 容器化改造，如系统任务的启动方式、基础设施的适配（环境变量、配置文件获取方式的变更等），这些都需要 大数据团队来做适配，在资源管理的方式，则从适配Yarn修改为适配Kubernetes，总体改造成本比较高；另一方面， 需要在大数据应用的资源申请层面进行改造

+) 的 labelmap，即：通过这种方式采集的数据，我们无法得到 node 上的 label 数据。node 上的 label 数据最核心的就是 标识了 node 的 IP • 我们可以通过环境变量为抓取器注入NODEIP，比如用 Categraf 的话，就会自动把本机 IP 作为标签带上去，设置 config.toml 中的 hostname=“$ip” 即可 完整配置可以参考： https://github kube-state-metrics 也是部署到 Kubernetes 集群中即可，通常作为一个单副本的 Deployment • 可以为 ksm 分配一个 ClusterIP，当做一个普通服务配置静态目标地址即可，也可以不分配，不分配就是用 PodIP 采集，容器迁移 PodIP 会变，所以只能走 kubernetes 的服务发现机制 • ksm 采集的监控指标数据量很大，请求其 /metrics

Kubernetes + YARN Kubernetes + Volcano 静态划分资源池 统一资源池 Kubernetes + YARN Kubernetes + Volcano 集群低负载场景 K8s资源池空闲，大数据业务无法使用 大数据业务可以使用集群整体空闲资源， 提高整体资源利用率 集群高负载场景 通过静态划分的资源池保证大数据业务和通用 业务的资源配额 通过Volcano提供的队列保证各类业务资

GateWay API网关是一个服务器，是整体系统的唯一流量入口。 API网关封装了系统内部细节，为每个客户端提供一个定制的外化API。 还具有其它职责，如身份验证、监控、负载均衡、 缓存、请求分片与管理、静态响应处理、协议转换等，它将公共的非 业务功能能力进行了集成和管理，同时也简化了微服务的研发和部署。 为什么需要API网关 传统网关上容器云(K8S) Gateway 网关Controller K8S

2019/7/31 2.对接ELASTICSEARCH 1.2 插件制作 - 项⽬目地址：https://github.com/goodrain-apps/filebeat - 根据代码，配置环境变量量选项 - 持久化⽬目标应⽤用的⽇日志路路径 - 制作流程⼿手动演示 RAINBOND 线上培训（第⼋八期） 2019/7/31 我是郭逊， 好⾬雨交付⼯工程师， 我为交付质量量代⾔言