/ 2020-11.21-22 go-Chassis 在 Shopee 供应链的实践 余卓煌 ’ alt=‘OCR图片’/> 关于 Shopee 东南亚本地电商平台 成立于2015 8个市场 发展非常快 GOPHER CHINA 2020 中国 上海 / 2020-11.21-22 Shopee供应链过去的技术栈 python $ ^{ \mathrm { T M } } } $ gunicorn Celery elastic GOPHER CHINA 2020 Shopee供应链现在的技术栈 Saturn kubernetes RabbitMQ Wprowadzenie kafka ceph Celery gunicorn elastic GOPHER CHINA 2020 Why Go 运行和开发效率的平衡

openEuler 开放透明的开源软件供应链管理 开源操作系统的构建过程，也是供应链聚合优化的过程。拥有可靠开源软件供应链，是大规模商用操作系统的基础。openEuler从用户场景出发，回溯梳理相应的软件依赖关系，理清所有软件包的上游社区地址、源码和上游对应验证。完成构建验证、分发、实现生命周期管理。开源软件的构建、运行依赖关系、上游社区，三者之前形成闭环且完整透明的软件供应链管理。 ## 02 平台架构

可与多种DevSecOps工具链联动强化效能（SCA、RASP、漏洞情报）； 在云原生应用的开发端及运营端均发挥作用。 ## 实践现状 ## SBOM的应用现状 根据《Anchore 2022 软件供应链安全报告》，尽管 SBOM 在提供对云原生应用可见性方面发挥着基础性作用，但只有三分之一的组织遵循 SBOM 最佳实践。 Current SBOM Practices  ## 云原生时代下的软件供应链攻击 “到2025年，全球45%的组织会受到软件供应链攻击，比2021年增长三倍”——Gartner  ## 云原生时代下的软件供应链攻击 软件供应链安全事件频发，“核弹级”第三方组件漏洞的影响面和危害大 。2020年12月13日，美国政府确认国务院、五角大楼、国土安全部、商务部、财政部、国家核安全委员会等多个政府部门遭入侵。该事件波及全球多个国家和地区的18000多个用户，被认为是“史上最严重”的供应链攻击。 ## “太阳风暴” 攻击 

算力安全风险。人工智能训练运行所依赖的算力基础设施，涉及多源、泛在算力节点，不同类型计算资源，面临算力资源恶意消耗、算力层面风险跨边界传递等风险。 （c）供应链安全风险。人工智能产业链呈现高度全球化分工协作格局。但个别国家利用技术垄断和出口管制等单边强制措施制造发展壁垒，恶意阻断全球人工智能供应链，带来突出的芯片、软件、工具断供风险。 ### 3.2 人工智能应用安全风险 #### 3.2.1 网络域安全风险 (a) 载的人工智能模型或系统。 （c）加强人工智能算力平台和系统服务的安全建设、管理、运维能力，确保基础设施和服务运行不中断。 （d）对于人工智能系统采用的芯片、软件、工具、算力和数据资源，应高度关注供应链安全。跟踪软硬件产品的漏洞、缺陷信息并及时采取修补加固措施，保证系统安全性。 ### 4.2 针对人工智能应用安全风险 #### 4.2.1 网络域风险应对 （a）建立安全防护机制，防止模型运行过程中被干扰、篡改而输出不可信结果。 设，为人工智能安全发展提供优质营养供给。制定人工智能伦理审查准则、规范和指南，完善伦理审查制度。 5.5 强化人工智能供应链安全保障。推动共享人工智能知识成果，开源人工智能技术，共同研发人工智能芯片、框架、软件，引导产业界建立开放生态，增强供应链来源多样性，保障人工智能供应链安全性稳定性。 5.6 推进人工智能可解释性研究。从机器学习理论、训练方法、人机交互等方面组织研究人工智能决策透明度、可

③编码阶段，研发人员基于安全设计文档，落实与本次需求相关的安全设计要求 ## 安全开发-软件成分分析SCA 开源软件帮助企业快速提升信息化水平，也引入新风险。开源技术应用、国际形势复杂、软件供应链的多样化，供应链各个环节的攻击急剧上升，已然成为企业主要的安全威胁。  开源组件安全漏洞 开源组件许可证合规 供应链投毒事件 资产台账 风险治理 应急响应  软件供应链安全平台 优点 低误报率 高检出率 安全风险 集成灵活 合规风险 中断风险 分类分级标记 关联责任人 ✓ 关联内外网业务 可治 90%效率提升 漏洞及投毒检测 自主可控率分析 许可证合规分析 自动化修复技术 ## 可防 100% 流程覆盖 安全可信私有源 供应链准入审查 供应链准出机制 ✓ 过程持续验证 缺点 只能检测已知 漏洞 ## 安全开发-代码扫描SAST 源代码审计针对源代码缺陷进行静态分析检测。它在对目标软件代码进行语法、语义分析的技术上，辅

构建等领域，为法律专业人士和普通用户提供更便捷、高效的法律服务。 工业领域 DeepSeek在工业质检智能化方面已经取得显著成效。未来，其可能会进一步拓展到工业生产流程优化、设备故障预测与维护、供应链管理等领域，提供更高效的工业生产和运营的解决方案。 ## DeepResearch：智能协作，自主研究 「核心功能」 多步骤自主研究、端到端强化学习、深度信息整合 1. 多步骤自主研究 输入提示 金融分析案例：数据整合，供应链优化 数据来源：全球12个交易所的财报数据 ## ➢ 模型构建： 提取来自全球主要交易所（如纽约证券交易所、道琼斯指数等）的半导体相关财报和数据 链接效率（如通信、物流连接） 线条强度（如生产线的稳定性） 物流效率（如运输网络的优化性） 需求响应能力（如预测和应对需求变化的能力） ➢情景模拟： ☐ 建立基于5种不同情景（如需求波动、突发事件、技术革新）的供应链模拟模型。 Research提供的可视化工具生成可解释性的分析报告，展示各情景对供应链压力及影响的具体路径。 ### 1. 数据获取 ### 2. 模型构建与供应链脆弱性评估 ### 3. 情景模拟与建议 ## 数据解析过程 ☐ 来自行业研报机构的178份半导体供应链风险分析报告。 ☐ 解读各研报的核心观点、关键指标及预测方法。 ☐ 建立行业报告的质量评估体系，识别高价值研报并进行分类。 ## 供应链脆弱性评 ☐ 使用层次分析法

再次改名OpenClaw。强调开源属性，保留龙虾主题。 2026年2月初 安全危机。CVE-2026-25253RCE漏洞被发现(CVSS8.8/10)，13.5万暴露实例中5万+可被直接攻击。同期ClawHavoc供应链攻击爆发，ClawHub约12%的Skills被确认为恶意。 2026年2月初 谷歌封号风波。谷歌大规模封禁OpenClaw用户账号，引发社区震动。 2026年2月14日 创始人加入OpenAI。Peter ，但不保证完全可靠（见下一节）。 23 Skills安全 Skill Security ClawHavoc供应链攻击是OpenClaw历史上最严重的安全事件之一。每个「养虾人」都应该了解。 ClawHavoc供应链攻击 2026年1月底到2月初，OpenClaw社区遭遇了一场大规模供应链攻击，被安全研究机构Koi Security命名为「ClawHavoc」。 时间线 日期 事件 1月27日 禁用隐式 Workspace Plugin 自动加载（v3.12） 克隆仓库不再自动执行其中包含的 workspace plugin 代码。每个仓库的 plugin 首次加载时都需要显式信任确认。这解决了供应链攻击的一条途径：恶意仓库无法在你不知情的情况下执行插件代码。 显式信任一个 workspace 的 plugin openclaw workspace trust /path/to/repo Peter的坦诚

。强调开源属性，保留龙虾主题。| |2026年2月初|安全危机。CVE-2026-25253RCE漏洞被发现(CVSS8.8/10)，13.5万暴露实例中5万+可被直接攻击。同期ClawHavoc供应链攻击爆发，ClawHub约12%的Skills被确认为恶意。| |2026年2月初|谷歌封号风波。谷歌大规模封禁OpenClaw用户账号，引发社区震动。| |2026年2月14日|创始人加入OpenAI。Peter 全可靠（见下一节）。 ## 23 Skills安全 Skill Security ClawHavoc供应链攻击是OpenClaw历史上最严重的安全事件之一。每个「养虾人」都应该了解。 ## ClawHavoc供应链攻击 2026年1月底到2月初，OpenClaw社区遭遇了一场大规模供应链攻击，被安全研究机构Koi Security命名为「ClawHavoc」。 ## 时间线 |日期|事件| 这个漏洞的危害极大：攻击者可以远程在你的服务器上执行任何命令，包括读取文件、安装恶意软件、窃取API Key等。如果你还在运行v2026.3.2之前的版本，请立即升级。 ## ClawHavoc供应链攻击 详见本指南 23Skills安全。这是OpenClaw历史上影响最广的安全事件，135,000+设备受到影响，ClawHub约 20%的Skills在高峰期被确认为恶意。 ## Anthropic封杀OAuth

openEuler 开放透明的开源软件供应链管理 开源操作系统的构建过程，也是供应链聚合优化的过程。拥有可靠开源软件供应链，是大规模商用操作系统的基础。openEuler从用户场景出发，回溯梳理相应的软件依赖关系，理清所有软件包的上游社区地址，源码和上游对应验证。完成构建验证、分发、实现生命周期管理。开源软件的构建、运行依赖关系、上游社区，三者之前形成闭环且完整透明的软件供应链管理。 ![Image](