进行容器逃逸，然后获得宿主机的控制权。 2.2.2 镜像仓库攻击 这里指的是攻击受害者本地的镜像仓库，如 Harbor[8]、Docker Registry[9] 等。其中 Harbor 镜像库从发布开始就被爆出权限提升、枚举、SQL 注入、CSRF 等多项漏洞。除此之外，如果私有镜像仓库由于配置不当而开启了 2357 端口， 将会导致私有仓库暴露在公网中，攻击者可直接访问私有仓库并篡改镜像内容， 造成仓库内镜像的安全隐患。 所示。 云原生安全威胁分析与能力建设白皮书 54 图 20 运行时安全能力建设 4.2.1Web 应用和 API 安全 Web 安全治理需要对 web 应用的风险建立相关的防护能力，包括 SQL 注 入、命令注入攻击、XSS 跨站、Webshell 上传、内存 Webshell、WEB 服务 器漏洞攻击、第三方组件漏洞、CSRF 跨站请求伪造等攻击行为。同时还应建立 对 HTTP 异常检测能力、IP 以检测和阻止恶意攻击。在 Web 防护过程中，WAF 是一种专为保护 Web 应 用设计的防火墙。它位于 Web 应用和 Internet 之间，能够监控、过滤并阻止 HTTP 流量中的恶意攻击，如 SQL 注入、XSS 和 CSRF 攻击等。在 API 防护 过程中，WAF 可以提供实时监测和分析 API 的访问日志，并能够迅速发现异 常行为。WAF 可以记录所有请求数据，包括来源 IP、用户代理、参数等，并能

数据库框架技术：在业务侧增强数据 库的能力。 直接在业务代码使用。 支持常见的数据库和JDBC。 轻量级，不需要额外的资源和机器。 1.数据库框架 1、改造对业务系统具有较大侵入性； 2、对于复杂的SQL，可能不支持； 3、对于跨库和跨分片的数据，需要额外机制保障一致性； 4、缺乏较好的数据平滑迁移和过渡方案； 5、Java Only（或其他）。 数据库框架使用的约束： 2.数据库中间件 Aurora GaussDB PolarDB OceanBase TiDB Cockroach DB …… 3.分布式数据库 1.水平扩展性 2.计算存储分离 3.分布式事务 4.多副本机制 5.SQL接入支持 6.云原生支持 容量 性能 一致性 可高用 易用性 伸缩性 代替单机数据库（注意，主要解决容量问题）。 3.分布式数据库 1、需要较多的机器资源； 2、对于替换数据库技术的公司，代价较大，放弃多年积累；

TiK V TiFlas h TiK V TiK V ... DistSQL API KV API ... Worker Worke r Worke r Spark Driver ... Spark SQL Spark Cluster DistSQL API P D P D P D PD Cluster Pum p Pum p Pum p Draine r TiDB Binlog DM Worker

determine field names when marshaling and unmarshaling structs Other data formats Used for XML, BSON, SQL ORMS... type Candidate struct { Id string `json:"id,omitempty"` Name string `json:"full_name"`

Management Data Science in a box (Advanced analytics toolbox) • Data Discovery • Metadata engine • SQL+BI toolset • Dashboarding Information reference： https://volcano.sh/en/blog/ing_case-en/ 业务场景:

三方组件的清单。 • SBOM能够列出管理这些组件的许可证，代码库中使用的组件的版本及其补丁程序状态。 云原生应用安全风险面 第三方组件 开源组件 应用安全 风险面 Web通用漏洞 SQL注入、命令执行、XXE、XSS等OWASP TOP10 业务逻辑漏洞 水平/垂直越权、短信轰炸、批量注册、验 证码绕过等 合规需求、安全配置 未能满足安全合规、未建立安全基线、敏 感数据泄漏