正式发布第 4 天，登顶趋势榜首 应用 平台团队 Canary Autoscale Route Web Service Database 能力模板（即：抽象） 业务用户 选择并初始化部署环境 部署环境模板 选择能力模板 填写模板参数 组装能力为“应用” RDS Route Web Service Database 生产集群 Pod Nginx Pod 测试集群 生产集群 基于环境的 Patch 定义环境、 集群、依赖包 patch patch patch Components Developer Experience Tools (CLI, Dashboard, Appfile etc) Traits Autoscaling Rollout Route Web Service attach to End Users others ... Addon

平台无关与高可扩展：应用定义与平台层实现解耦，应用描述 支持任意扩展和跨环境实现； • 模块化应用运维特征：可以自由组合和支持模块化实现的运维 特征描述。 • Components：在 OAM 中，“应用”是由多个概念共同组合而成。第一个概念是： 应用组件（Components），它是整个应用的重要组成部分。应用组件既可以包括 应用运行所依赖的服务：比如 MySQL 数据库，也包括应用服务本身：比如拥 有多个副本的 PHP

Li Ma 云原生企业级安全的最佳实践 Cloud Native Security Cluster Security • Securing the cluster components that are configurable • Securing the applications which run in the cluster AKS Security Network Security

window ○ Test monitoring and alerting system ○ Simulate poor internet connection ● Testing components(redis rabbitmq scheduler) ● Testing bugs 3+ 20 ! Active User Community

One definition can be delivered anywhere CNBaaS Overview CNBaaS Registry Service Definitions Components Specifications Plugins(IaC+Runtime) Manage DSL IaC Engine Schema | Validator | Adapter Execute

`json:"group_version"` TempleteVersion string `json:"template_version"` Components []*Component `json:"apps"` Plugins []*Plugin `json:"plugins

运行时安全能力建设...................................................................................53 4.2.1Web 应用和 API 安全...........................................................................54 4.2.2 云原生运行时安全 之间的相互调用。根据 2023 上半年的 攻击数据显示，攻击者利用 API Key、敏感文件执行、敏感信息读取等手段发起 的攻击次数呈明显上升趋势，占总攻击事件的 1.69%。API 滥用已成为导致企 业 Web 应用程序数据泄露的最常见的攻击媒介，通过攻击 API 来达成攻击目的， 已成为上半年攻防演练中各攻击队最常用的攻击手段之一。 在 5G 核心网和边缘计算方面，容器化的网元和边缘计算平台越来越普遍， 在云原生环境下，上层应用程序对攻击者来说就像是集群的一个入口，攻击 应用程序的目标就是突破入口，拿到业务环境也就是业务所在 pod 的 shell。 攻击点 6 显示的是攻击者利用 Web 服务的漏洞对 pod 发起的攻击。 Web 安全发展这么多年，可利用的漏洞非常之多，比如 Log4j2-RCE 漏洞 （CVE-2021-44228）[12]以及 Spring-RCE 漏洞（CVE-2022-22965）[13]，

微服务治理全链路灰度最佳实践 • 斯凯奇 云原生网关最佳实践 来电 微服务治理全链路灰度最佳实践 app 充电宝设备节点 web 网关 服务注册发现 配置中心 HTTP HTTP HTTP HTTP HTTP 10% 90% web web web服务 Gray 基线版本 用户中心 Dubbo Gray Dubbo 基线版本 RPC RPC 订单中心 app pos web MSE 云原生网关 认证鉴权服务 primweb web 订单中心 促销中心 商品中心 库存中心 渠道中心 用户中心 营销中心 会员中心 日志服务 安全 全链路监控 web服务 ES 云数据库 Rredis 版 RDS 云数据库 POLARDB 微服务中心 限流熔断 消息队列 AHAS ARMS SLS Web应⽤防⽕墙 分布式任务LTS

Material）是代码库中所有开放源代码和第三方组件的清单。 • SBOM能够列出管理这些组件的许可证，代码库中使用的组件的版本及其补丁程序状态。 云原生应用安全风险面 第三方组件 开源组件 应用安全 风险面 Web通用漏洞 SQL注入、命令执行、XXE、XSS等OWASP TOP10 业务逻辑漏洞 水平/垂直越权、短信轰炸、批量注册、验 证码绕过等 合规需求、安全配置 未能满足安全合规、未建立安全基线、敏 别系统中存在的已知安全漏洞或者潜在的许可证授权问题。 IAST——API安全检测 doubo fosf://xxx.services.id 网关 nginx doubo java java java web /etc/nginx/conf.d/* ciaapi.dszc-amc.com /etc/nginx/conf.d/* m-crm.dszc-amc.com zczj.dszc-amc fosf://...... Web 部署IAST agent java 部署IAST agent • API用于内部/外部应用可调用的接口，包括 http/https、定制TCP、RPC等协议。 • 微服务架构下，暴露API指数级增加 doubo java 部署IAST agent 其他外部应 用直接访问 a.html 移动APP、 外部Web、 外部服务等 http://C

● -ui：启用内置Web UI服务器和所需的HTTP路由。这消除了将Consul Web UI文件与二进制文件 开维护的需要。 ● -ui-dir：此标志提供包含Consul的Web UI资源的目录。这将自动启用Web UI。该目录必须对代理 读。从Consul 0.7.0及更高版本开始，Web UI资产包含在二进制文件中，因此不再需要此标志; 仅指定 ui标志就足以启用Web UI。指定'-u