下一代互联网宽带业务应用国家工程研究中心 2023 年 11 月 版权声明 本报告版权属于中国联合网络通信有限公司研究院，并受法 律保护。转载、摘编或利用其他方式使用本报告文字或者观点的， 应注明“来源：中国联通研究院”。违反上述声明者，本院将追 究其相关法律责任。 云原生安全威胁分析与能力建设白皮书 1 目 录 一、云原生安全概述............................ 云原生安全威胁分析与能力建设白皮书 34 2.6.1 事件注入攻击 无服务器计算本身是由事件驱动的，当函数订阅一个事件源后，该函数在该 类型的事件发生时被触发，这些事件可能来源于平台内部或外部，其中部分事件 可能是无法确认其来源的，对于来源未知且不可控的事件都是一种潜在的事件注 入威胁。 通常情况下，攻击者将可以控制的信息作为事件的一部分传递给可调用单元， 可调用单元在得到事件后未对事件做合理的筛选和过滤，就直接对事件进行处理， 在 的漏洞、软件成分、敏感信息（备份文件、SSH 密钥、敏感环境变量等）、木马 病毒等风险进行审查，并建立卡点及修复流程机制，形成规范。 （3）镜像来源检测 镜像来源检测，也称为可信镜像，是一项安全实践，旨在验证和确保容器镜 像的来源可信度和完整性。通过使用数字签名、加密哈希等技术，可以验证镜像 的真实性，确保它来自受信任的源，例如特定镜像、特定仓库、基于特定基础镜 像等。以减少恶意

www.iresearch.com.cn 来源：艾瑞咨询研究院自主研究及绘制。 摘要 SMS 开源与云计算：开源软件与云计算产业既有互相促进的良性合作，也有因利益纠纷带来的冲 突和矛盾。一方面，云计算产业的大量的基础软件都是开源软件，开源生态为云计算行业的 码这一基本要求之外，其开源许可（open source license）还需要满足关于源代码的使用和修改、关于软件传播以及公平 性、中立性等方面的诸多要求，这些要求加强了开源产业的规范性，构建了诸多开源商业模式的基础。 来源：OSI，艾瑞咨询研究院根据公开资料研究及绘制。 OSI组织对“开源”核心概念和要求的界定 关于开源软件的内容（代码） • 开源软件必须包含可理解与运用的源代码，或提供简便的获取 源代码的方 www.iresearch.com.cn 来源：艾瑞咨询研究院自主研究及绘制。 开源软件的发展理念（一） 与世界上绝大多数商品不同，使用一款软件不仅不会损耗它 的价值量，还有可能为之带来增长 开源软件理念的前身是美国计算机软件产业起步之时

、可持续性发展，并因为基础软件对上层软件生态有支 撑作用，基础软件的开源价值远超过单一产品的范畴，其意义惠及软件产业全领域。 注释：由于暂无国内厂商主导的开源编程语言，因而不列入本报告研究范围。 来源：根据专家访谈、公开资料，由艾瑞咨询研究院自主研究及绘制。 对于这四类基础软件（操作系统、数据库、AI框架、中间件），其编写者将实现功能的代码按照一定的开源规范 开放，任何人可以查看、使用、贡献，同时，使用者也要遵循一定的开源规范。 www.iresearch.com.cn 软件开源规范 不同许可证对软件再发行是否需要开源有不同要求，企业需根据自身商业 需求谨慎选择开源代码使用 来源：参考可信开源合规计划，根据专家访谈、公开资料，由艾瑞咨询研究院自主研究及绘制。 使用开源许可证需注意的风险点 审判机关 开发者 开源许可证 “两者的契约” 开源者 将许可证视为“合同”，基于《著作权法》、 木兰宽松许可证 都了解且自觉遵守 木兰公共许可证 Mozilla许可证 全部不了解直接使用 LGPL许可证 BSD许可证 GPL许可证 MIT许可证 Apache许可证 百分比（%） 来源：Gitee《2022中国开源开发者报告》，结合专家访谈、公开资料，由艾瑞咨询研究院自主研究及绘制。 开发者对常见开源许可证了解情况 开源开发者对于许可证种类与应用的了解不全 17%的开源开发者对于所有开源许可证不了解但直接使用

的状况从调查来看并没有太多改善。可能我们首先要做的是吸引女性在 IT 技术领域就业，类似“Women In Tech”这样的项目，鼓励女性在高科技领域发光发热。 单致豪：毫无疑问，开发者和开源爱好者重要的来源是学生，提高高校的开源教育将是非常重要的一环，腾讯 之前启动了“犀牛鸟开源人才计划”，打造面向高校学生的开源课程。2022 年，腾源会将联合 Techo Youth 开展开源实战高校巡回。 受访者中还未参加工作的人数最多，占比约 NDR 全部超 过 120%，其中 GitLab 的表现尤其亮眼，NDR 达到 152%。 图表 1 ：部分开源企业的上市表现 图表 2 ：开源企业的业绩表现 资料来源：Crunchbase，Pitchbook，云启资本 资料来源：Crunchbase，Pitchbook，云启资本 76 全球开源软件公司获风险投资数量与总金额不断攀升，资本市场退出周期加快。可以看到，在近二十年间， 一级市 Streamlio 被 Splunk 公司收购和 Flink 被阿里 收购。 图表 3 ：全球开源软件 VC 投资统计 图表 4 ：主要开源软件公司资本退出周期 资料来源：Crunchbase，Pitchbook，云启资本 资料来源：Crunchbase，Pitchbook，云启资本 2.2 开源模式商业优势 2.2.1 开源项目可以为软件的开发提供杠杆 开源带来了产品的快速迭代与用户场景的

任务函数。任务函数为协程函数时，使用 基于 协程的会话实现 ；任务函数为普通函数时，使用基于线 程的会话实现。 allowed_origins (list) – 除当前域名外，服务器还允许的 请求的来源列表。 port (int) – server bind port. set 0 to find a free port numbe to use host (str) – server bind host 除当前域名外，服务器还允许的请求的来源列表。 来源 包含协议和域名和端口部分，允许使用 Unix shell 风格 的匹配模式: * 为通配符 ? 匹配单个字符 [seq] 匹配seq内的字符 [!seq] 匹配不在seq内的字符 比如 https://*.example.com 、 *://*.example.com check_origin (callable) – 请求来源检查函数。接收请求 来源(包含协议和域名和端口部分)字符串， 除当前域名外，服务器还允许的请求的来源列表。 来源 包含协议和域名和端口部分，允许使用 Unix shell 风格 的匹配模式: * 为通配符 ? 匹配单个字符 [seq] 匹配seq内的字符 [!seq] 匹配不在seq内的字符 比如 https://*.example.com 、 *://*.example.com 、 check_origin (callable) – 请求来源检查函数。接收请求 来源(包含协议和域名和端口部分)字符串，

technology, with programs like Women In Tech to encourage women to shine in tech. 单致豪：毫无疑问，开发者和开源爱好者重要的来源是学生，提高高校的开源教育将是非 常重要的一环，腾讯之前启动了“犀牛鸟开源人才计划”，打造面向高校学生的开源课 程。2022 年，腾源会将联合 Techo Youth 开展开源实战高校巡回。 Figure 2: Performance of open source companies 资料来源：Crunchbase，Pitchbook，云启资本 Source: Crunchbase, Pitchbook, Yunqi Partners 资料来源：Crunchbase，Pitchbook，云启资本 Source: Crunchbase, Pitchbook, Cycle of Major Open Source Software Companies 资料来源：Crunchbase，Pitchbook，云启资本 Source: Crunchbase, Pitchbook, Yunqi Partners 资料来源：Crunchbase，Pitchbook，云启资本 Source: Crunchbase, Pitchbook

为普通函数时，使用基于线程的会话实现。 38 Chapter 4. Documentation PyWebIO, 发布 0.3.0 • allowed_origins (list) –除当前域名外，服务器还允许的请求的来源列表。 • port (int) –server bind port. set 0 to find a free port number to use • host (str) –server bind –除当前域名外，服务器还允许的请求的来源列表。来源包含协 议和域名和端口部分，允许使用 Unix shell 风格的匹配模式: – * 为通配符 – ? 匹配单个字符 – [seq] 匹配 seq 内的字符 – [!seq] 匹配不在 seq 内的字符 比如 https://*.example.com 、*://*.example.com • check_origin (callable) –请求来源检查函数。接收请求来源 –请求来源检查函数。接收请求来源 (包含协议和 域名和端口部分) 字符串，返回 True/False 。若设置了 check_origin ， allowed_origins 参数将被忽略 • auto_open_webbrowser (bool) –Whether or not auto open web browser when server is started (if the operating system

HTML、CSS、 DOM 和 JavaScript）来建造网站和开发应 用。他们使用 WEB 技术在 WEB 平台或非 WEB 框架（比如 NativeScript 框架）上设计程 序。 图片来源：https://www.upwork.com/hiring/development/front-end-developer/ 通常前端开发者通过学习 HTML、CSS 和 JS 来入门。HTML、CSS “全栈” 或 “Web 开发” ，招聘者可能是用这些词来描述负责整体 web/app 开发的职位，也就是同时负责前端（可能包含设计）和后端的职位。 前端职称 19 前端开发者所使用的技术 图片来源: http://www.2n2media.com/compare-front-end-development-and-back-end- development 前端开发者所使用的核心技术有如下这些（建议按顺序进行学习）： 维基百科 可无障碍访问的富互联网应用 (WAI-ARIA) 现状 网络无障碍倡议 (WAI) 网络内容无障碍指南 (WCAG) 的现状 前端开发者所使用的技术 23 前端开发技能 图片来源：http://blog.naustud.io/2015/06/baseline-for-modern-front-end-developers.html 假设每个领域的前端开发者都使用基础的高级

Verbose). Zabbix 从 Windows event log In- formation 域获取日志等 级。 logsource (pattern) 检查最近的日 志记录是否匹 配参数的日志 来源。 pattern - string 型支持值的类 型: log < 返回值: 0 - 不匹配 1 - 匹配 通常用于 Windows event logs. 例如, log- source(”VMware 选项卡允许你定义主机级别的用户宏. 如果你选择了 Inherited 和 host macros 选项，你也可以在这里查看模板级的宏以及全局 宏。那里是为主机定义全部用户宏的地方，用户宏显示解析的值以及来源。 240 为方便考虑，提供了相应模板和全局宏配置的链接。还可以在主机级别编辑一个模板/全局宏，有效地创建主机上宏的副本。 Host inventory 选项卡允许你为主机手工输入库存 信息。你还可以选择启用 (swapins 的数 量), sectors (换 入的区域), pages (换入的 页). 有关默认的 详细信息请参 考支持的平台 <; sys- tem.swap.in[,pages] 这个信息的来源 是: /proc/swaps, /proc/partitions, /proc/stat (Linux 2.4) /proc/swaps, /proc/diskstats, /proc/vmstat

来将服务绑定到所有可用的地址上。 debug (bool) – Tornado Server是否开启debug模式 allowed_origins (list) – 除当前域名外，服务器还允许的请求的来源列表。 来源 包含协议、域名和端口部分，允许使用 Unix shell 风格 的匹配模式(全部规则参见 Python文档 [https://docs.python.org/zh-tw/3/library/fnmatch seq] 匹配任何不在seq中的字符 比如 https://*.example.com 、 *://*.example.com check_origin (callable) – 请求来源检查函数。接收请求 来源(包含协议、域名和端口部分)字符串， 返回 True/False 。若设置了 check_origin ， allowed_origins 参数将被忽略 auto_open_webbrowser applications (callable/list/dict) – PyWebIO应用。 allowed_origins (list) – 除当前域名外，服务器还允许的 请求的来源列表。 check_origin (callable) – 请求来源检查函数。 关于各参数的详细说明见 pywebio.platform.tornado.start_server() 的同名 参数。 Tornado RequestHandle类