Virtualization Servers Storage NetWorking PaaS 硬件与虚拟化厂商提供，如果是HCI架构， 作为总体集成方，会降低安全集成成本 可信计算环境：OS安全、TPM加密、TEE可信环境 云原生安全：镜像安全、镜像仓库安全、容器加固隔离、通信零信任 (Istio零信任、Calico零信任、Cilium零信任、WorkLoad鉴权、WorkLoad 间授权等)、De 如UEFI、loader、OS、应用等，可以确保在被入侵 修改时的阻断行为，另外可以将可信启动链的 Hash值上传云端管理，可以做到中心管控验证的 目的。 加密技术 数据的安全生命周期返程三种不同状态：存储中、传输中、使用中，但 是对第三种场景，一直以来缺少保护手段。通过加密技术建立的可信运 行环境TEE（比如IntelSGX，蚂蚁的KubeTEE等）可以保护运行中的数据和 代码，完成了安全闭环。 依赖于硬件和更高阶密码学，可以彻底阻断物理 Mesh零信任 mTLS服务间访问授权，主要针对Pod层WorkLod的访问控制 应用透明，全局管理视角，细粒度安全策略 Check&Report机制影响通信性能，并只涉及到服务 通信级别的安全，对node没有防护 Calico零信任 主要针对Node层的访问控制，可以让攻击者难以横向移动，隔离了风险 应用透明，全局管理视角，细粒度安全策略，针 对Node层面构建安全 采用IpTables，有一定的性能消耗

连接建立 传输+保持 通道复用 复合建连 握手优化 短连补偿 智能心跳 数据压缩 质量模型 自动重试 云端补偿 柔性建连 假连淘汰 动态超时 § 终端策略覆盖移动网络难点 § 优化对业务透明 § ROI考虑 好网更快 弱网更好 协议优化 支付宝网络接入层架构示意 § 关键词：动态Hpack + PB + 动态字典 + Zstd通信协议&架构持续升级 多终端&协议接入 架构升级 TLS，国密 服务鉴权 流量控制 TLS，国密 服务鉴权 流量控制蚂蚁金服率先大规模落地SOFAMesh UDPA 安全 统一数据 平面API 存量连接无损迁移 提升5倍发布效率 TLS双向加密 支持国密算法 WAF 流量镜像 多协议 SOFARPC Dubbo HTTP1.1/2 平滑升级 性能 单跳CPU增加5%消耗 0.2ms RT 蚂蚁金服100+应用，10w+容器已经mesh化，部分业务链路通过下沉， 大规模场景下需要面对的资源占用，自动化问题、性能问题，稳定性问题兼容问题 § 不同的应用，部分Mesh化 § 同一个应用，部分Mesh化 § 蚂蚁基础设施适配 § TLS加密链路平滑迁移 Localhost or Iptables 透明劫持和加速大规模问题 10万+实例 动态服务发现 运维 § 对控制平面性能，稳定性带来巨 大挑战 § 单实例数万路由节点，数千路由 规则，不仅占用内存，对路由匹

进人工智能创新发展为第一要务，以有效防范化解人工智能安全风险为出发点 和落脚点，构建各方共同参与、技管结合、分工协作的治理机制，压实相关主 体安全责任，打造全过程全要素治理链条，培育安全、可靠、公平、透明的人 工智能技术研发和应用生态，推动人工智能健康发展和规范应用，切实维护国 家主权、安全和发展利益，保障公民、法人和其他组织的合法权益，确保人工 智能技术造福于人类。 1.1 包容审慎、确保 提供 人工智能模型算法，应符合出口管制要求。 4.1.3 系统安全风险应对 （a）对人工智能技术和产品的原理、能力、适用场景、安全风险适当公开， 对输出内容进行明晰标识，不断提高人工智能系统透明性。 （b）对聚合多个人工智能模型或系统的平台，应加强风险识别、检测、 防护，防止因平台恶意行为或被攻击入侵影响承载的人工智能模型或系统。- 9 - 人工智能安全治理框架 （c）加强人工智能 源人工智能技术，共同研发人工智能芯片、框架、软件，引导产业界建立开放 生态，增强供应链来源多样性，保障人工智能供应链安全性稳定性。 5.6 推进人工智能可解释性研究。从机器学习理论、训练方法、人机 交互等方面组织研究人工智能决策透明度、可信度、纠错机制等问题，不断提 高人工智能可解释性和可预测性，避免人工智能系统意外决策产生恶意行为。 5.7 人工智能安全风险威胁信息共享和应急处置机制。持续跟踪分析 人工智能技术、软硬件

2020 年 2021 年 2022 年 2023 年 2024 年 3600 万 2024年Gitee总仓库数 500 万 2024年Gitee新增仓库数 6 / 111 和开源共同体拥抱开放透明 100 240 3,000 25,000 70,000 110,000 160,000 200,000 330,000 380,000 400,000 0 50000 2020 2021 2022 2023 2024 40 万 2024年Gitee开源组织数量 2024年，Gitee上的开源组织数 量达到了40万个，越来越多的开 发者选择凝聚在一起，共同拥抱 开放透明的组织协同。 7 / 111 本年度最受开发者关注的开源组织 2024 年，技术大厂及其大型项 目依然备受关注，它们推动着技 术的快速发展和广泛应用。 同时，「民间」开源组织虽然在 关注度上不及大厂主导的项目， 则作为中国模型在国际开源社区的 2024 年首秀，一经发 布便获得了广泛关注，为中国模型在全球开源生态中赢得了更多认可。 平衡发展与合规创新 中国在推动人工智能技术发展的同时，也在监管层面努力建立了完善、透明的治理机制。这 种监管创新为开源模型的发展提供了稳定的政策环境，同时确保技术应用符合社会价值导向。比 如 《人工智能示范法 2.0（专家建议稿）》对于免费且已开源方式提供人工智能研发的个人和

464 14.5 plistlib --- 生成与解析 Mac OS X .plist 文件 . . . . . . . . . . . . . . . . . . . . . . . 466 15 加密服务 469 15.1 hashlib --- 安全哈希与消息摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469 mode=’r’, encoding=None, errors=’strict’, buffering=1) 使用给定的 mode 打开已编码的文件并返回一个StreamReaderWriter 的实例，提供透明的编 码/解码。默认的文件模式为 'r'，表示以读取模式打开文件。 注解: 下层的已编码文件总是以二进制模式打开。在读取和写入时不会自动执行 '\n' 的转换。 mode 参数可以是内置open() EncodedFile(file, data_encoding, file_encoding=None, errors=’strict’) 返回一个StreamRecoder 实例，它提供了 file 的透明转码包装版本。当包装版本被关闭时原始文 件也会被关闭。 写入已包装文件的数据会根据给定的 data_encoding 解码，然后以使用 file_encoding 的字节形式写入 原始文件。从原始文件读取的字节串将根据

也有各种功能， 每次升级都要重新发布应用 业务进程专注于业务逻辑 SDK 中的大部分功能， 拆解为独立进程， 以 Sidecar 的模式运行 将服务治理能力下沉到基础设施，实现独立演进，透明升级7/39 异构系统统一治理 Part 1： 为什么需要Service Mesh? 多语言、多协议 图片来源：https://www.redhat.com/en/topics/mi 为什么需要Service Mesh? 身份标识/访问控制 Service （client） Sidecar Sidecar Service （server） mTLS 服务鉴权 全链路可信、加密 零信任网络9/39 二、 在当下『路口』的思考10/39 Part 2： 在当下『路口』的思考 云原生方案？ 落地有 gap 图片来源：https://istio.io/d 管控性和可观测性不好23/39 Part 3： 蚂蚁金服的产品实践 平滑迁移 初始状态24/39 Part 3： 蚂蚁金服的产品实践 平滑迁移 透明迁移调用方25/39 Part 3： 蚂蚁金服的产品实践 平滑迁移 透明迁移服务方26/39 Part 3： 蚂蚁金服的产品实践 平滑迁移 终态27/39 Part 3： 蚂蚁金服的产品实践 多协议支持 •

14.5 plistlib --- 生成与解析 Mac OS X .plist 文件 . . . . . . . . . . . . . . . . . . . . . . . . . 494 15 加密服务 497 15.1 hashlib --- 安全哈希与消息摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . mode=’r’, encoding=None, errors=’strict’, buffering=1) 使用给定的 mode 打开已编码的文件并返回一个StreamReaderWriter 的实例，提供透明的编码/解 码。默认的文件模式为 'r'，表示以读取模式打开文件。 注解: 下层的已编码文件总是以二进制模式打开。在读取和写入时不会自动执行 '\n' 的转换。mode 参数可以是内置open() EncodedFile(file, data_encoding, file_encoding=None, errors=’strict’) 返回一个StreamRecoder 实例，它提供了 file 的透明转码包装版本。当包装版本被关闭时原始文件 也会被关闭。 写入已包装文件的数据会根据给定的 data_encoding 解码，然后以使用 file_encoding 的字节形式写入原 始文件。从原始文件读取的字节串将根据

493 14.5 plistlib --- 生成与解析 Mac OS X .plist 文件 . . . . . . . . . . . . . . . . . . . . . . . 496 15 加密服务 499 15.1 hashlib --- 安全哈希与消息摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499 mode=’r’, encoding=None, errors=’strict’, buffering=-1) 使用给定的 mode 打开已编码的文件并返回一个StreamReaderWriter 的实例，提供透明的编 码/解码。默认的文件模式为 'r'，表示以读取模式打开文件。 注解: 下层的已编码文件总是以二进制模式打开。在读取和写入时不会自动执行 '\n' 的转换。 mode 参数可以是内置open() EncodedFile(file, data_encoding, file_encoding=None, errors=’strict’) 返回一个StreamRecoder 实例，它提供了 file 的透明转码包装版本。当包装版本被关闭时原始文 件也会被关闭。 写入已包装文件的数据会根据给定的 data_encoding 解码，然后以使用 file_encoding 的字节形式写入 原始文件。从原始文件读取的字节串将根据

493 14.5 plistlib --- 生成与解析 Mac OS X .plist 文件 . . . . . . . . . . . . . . . . . . . . . . . 496 15 加密服务 499 15.1 hashlib --- 安全哈希与消息摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499 mode=’r’, encoding=None, errors=’strict’, buffering=-1) 使用给定的 mode 打开已编码的文件并返回一个StreamReaderWriter 的实例，提供透明的编 码/解码。默认的文件模式为 'r'，表示以读取模式打开文件。 注解: 下层的已编码文件总是以二进制模式打开。在读取和写入时不会自动执行 '\n' 的转换。 mode 参数可以是内置open() EncodedFile(file, data_encoding, file_encoding=None, errors=’strict’) 返回一个StreamRecoder 实例，它提供了 file 的透明转码包装版本。当包装版本被关闭时原始文 件也会被关闭。 写入已包装文件的数据会根据给定的 data_encoding 解码，然后以使用 file_encoding 的字节形式写入 原始文件。从原始文件读取的字节串将根据

14.5 plistlib --- 生成与解析 Mac OS X .plist 文件 . . . . . . . . . . . . . . . . . . . . . . . . . 532 15 加密服务 535 15.1 hashlib --- 安全哈希与消息摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . mode=’r’, encoding=None, errors=’strict’, buffering=-1) 使用给定的 mode 打开已编码的文件并返回一个StreamReaderWriter 的实例，提供透明的编码/解 码。默认的文件模式为 'r'，表示以读取模式打开文件。 注解: 下层的已编码文件总是以二进制模式打开。在读取和写入时不会自动执行 '\n' 的转换。mode 参数可以是内置open() EncodedFile(file, data_encoding, file_encoding=None, errors=’strict’) 返回一个StreamRecoder 实例，它提供了 file 的透明转码包装版本。当包装版本被关闭时原始文件 也会被关闭。 写入已包装文件的数据会根据给定的 data_encoding 解码，然后以使用 file_encoding 的字节形式写入原 始文件。从原始文件读取的字节串将根据