ü 过程持续验证 !"#$%&'( !"#$)*+,- !"#$%&' 安全开发-代码扫描SAST 源代码审计针对源代码缺陷进行静态分析检测。它在对目标软件代码进行语法、语义分析的技术上，辅以数据流 分析、控制流分析和特有的缺陷分析算法等高级静态分析手段，能够高效的检测出软件源代码中的可能导致严重 缺陷漏洞和系统运行异常的安全问题和程序缺陷，并准确定位告警，从而有效的帮助开发人员消除代码中的缺陷、 测试报告输出 镜像库 性能/容量 测试 功能验收测 试 验收报告输出 镜像库 生产部署验 证 生产 发布 上线申请 提测 申请 生产 运营 单元 测试 需求安全分析 源代码审计 镜像安全扫描 服务 发布 冒烟 测试 基础镜像安全加固 代码 仓库 第三方开源 组件安全扫描 灰盒审计 手工渗透测试 镜像扫描 基线合规 实时监测 01 磐舟DevSecOps平台概况

安全层，防止未经授权的访问和数据泄露，同时还应建立多地容灾等手段，保证 代码数据的安全性。在用户上传和读取代码数据时，应采用加密协议等进行数据 传输，保障数据在传输过程中的安全。 （2）代码仓库安全 代码仓库中存储的源代码和相关开发资产的完整性、机密性和可用性极为重 要。用户需强化身份验证和授权管理，通过监控和审计实现对访问的严格控制， 并定期进行漏洞扫描发现并纠正潜在的安全漏洞，同时通过强密码和多因素身份 验 （1）动态应用安全检测 DAST 通过模拟实际攻击来评估应用程序的安全性。DAST 扫描工具发送恶 意请求和攻击模拟，然后分析应用程序的响应，以检测潜在的漏洞和安全威胁。 这种方法不需要源代码访问，因此适用于已部署的应用程序，可以帮助发现运行 时的安全漏洞。 动态应用安全检测能够对业界常见的安全漏洞类型检测，包括但不限于注入 类、失效身份验证和会话管理、敏感信息泄露、弱口令、XML

安全的保障——成分清单和监管机构 • 成分清单用于实现可见性（透明度） • 监管机构保障成分清单的可信度 软件物料清单 • 软件物料清单（SBOM, Software Bill Of Material）是代码库中所有开放源代码和第三方组件的清单。 • SBOM能够列出管理这些组件的许可证，代码库中使用的组件的版本及其补丁程序状态。 云原生应用安全风险面 第三方组件 开源组件 应用安全 风险面 Web通用漏洞

{ log.Fatalf("Failed to register: %v\n", err) } } Function Build ⽤ Tekton 管理镜像制作流⽔线 1. 获取源代码 2. 制作镜像 3. 上传镜像 如何管理 Build pipeline？ K8s 弃⽤ Docker 作为 Container Runtime 不能再以 Docker in docker

调整策略，解决新问题并及时隔离或者 解决！ DevSecOps 标准化能力-承载无忧-E2E云原生纵深安全保障-4-技术建议方案 技术 说明 优点 缺点 SAST(静态应用程序 安全测试) 白盒测试，通过污点跟踪对源代码或者二进制程序（也包括Docker镜像等） 进行静态扫描，尽可能前置，在IDE编写代码或者提交代码时进行，将极 大优化整体效率和成本 可以无视环境随时可以进行，覆盖漏洞类型全面， 可以精确定位到代码段