APP自动化检测 APP安全检测报告 APP安全检测 个人信息保护专项检测 按照安全检测报告对APP进行整改 人工辅助 包含的服务 l Android 应用的自动化安 全检测 l IOS应用的自动化安全检测 l Android应用自动化个人 信息合规检测 l IOS应用自动化个人信息合 规检测 l 安全检测及个人信息合规 检测支持下载检测报告 支持的场景 l 安全自查：发现各租户移动应用安 分 开发任务拆 分 迭代 规划 IDE 编码 代码 编译 打包 制品库 制作 镜像 镜像库 接口 测试 UI测试 功能系统测 试 测试报告输出 镜像库 性能/容量 测试 功能验收测 试 验收报告输出 镜像库 生产部署验 证 生产 发布 上线申请 提测 申请 生产 运营 单元 测试 需求安全分析 源代码审计 镜像安全扫描 服务 发布

云原生安全威胁分析与 能力建设白皮书 中国联通研究院 中国联通网络安全研究院 下一代互联网宽带业务应用国家工程研究中心 2023 年 11 月 版权声明 本报告版权属于中国联合网络通信有限公司研究院，并受法 律保护。转载、摘编或利用其他方式使用本报告文字或者观点的， 应注明“来源：中国联通研究院”。违反上述声明者，本院将追 究其相关法律责任。 云原生安全威胁分析与能力建设白皮书 1 目 录 例如企业云、5G 核心网和边缘计算、工业互联网等场景如今都面临着云原生安 全风险。 在企业云环境方面，容器化基础设施和云原生应用广泛应用。2023 年 9 月， 腾讯研究院发布的《2023 年上半年云安全态势报告》显示[7]，在云环境中容器 资产占比达到 45.06%，攻击者通过攻击容器，就可以进一步获取宿主机系统权 限，威胁宿主机上的其他容器和内网安全。另外，随着各个企业云上业务的快速 发展，越来越多的应用开发深度依赖 白皮书，2020 年. [6] CSA 云安全联盟标准. 云原生安全技术规范（CSA GCR C002-2002）， 2022 年 5 月. [7] 腾讯安全，腾讯研究院. 2023 上半年云安全态势报告，2023 年 9 月. [8] Harbor. https://goharbor.io/ [9] Docker Registry. https://docs.Docker.com/registry/

垄断无法实现数据权益的流动性；因此在面对数字经济 新纪元的到来，需要一个去中心化的云计算平台来解决 这些问题，预计到2022年，每10个字节的数据中，将有 7个字节的数据是没有数据中心的。 综合IDC、麦肯锡报告、华为报告，在2019年，全球中 心化云计算市场规模为2602亿美元，云存储市场为 491.3亿美元；而与之对应的去中心化云存储市场约30 亿美元，去中心化云计算市场约100亿美元。未来，10 年到20年

需要修改配置文件不断尝试 界面提交核心参数并结合延时图对比分析 Filebeat性能管控 日志量太大Cpu飙升影响业务 精准控制资源消耗防止异常减少抖动 Es写入性能调优 修改配置文件不断观察数据情况 基于ES压测报告给出专家级es参数优化建议 参数优化体验 修改配置文件、参数调优相对麻烦 全UI化、一站式处理 14 配置UI化 配置UI化开发思路 嵌套式表单 大表单套小表单，所有表单都是以angular组

Scan controller Launch scanning Scanner config Start scan 来自中国厂商： • 小佑科技 • 探针科技 制品安全分发-扫描 [2] 扫描报告有助于实时了解所管理镜像的相关漏洞信息和安全威胁程度 制品安全分发-安全策略 可在项目级别设置相关安全策略以阻止不符合安全规范的镜像的分发 基于漏洞严重程度或者签名状态 通过

可与多种DevSecOps工具链联动强化效能（SCA、RASP、漏洞情报）； • 在云原生应用的开发端及运营端均发挥作用。 实践现状 SBOM的应用现状 • 根据《Anchore 2022 软件供应链安全报告》，尽管 SBOM 在提供对云原生应用可见性方面 发挥着基础性作用，但只有三分之一的组织遵循 SBOM 最佳实践。 SBOM的应用现状 云原生基于“责任自负”的开源世界 云原生开源应用漏洞