隨著云計算和DevOps的興起，容器技術和自動化成為軟件開發中的必要手段，軟件供應鏈也進入了自動化及CI/CD階段。然而，容器技術和自動化雖然提升了軟件的更新速度，但也帶來了新的安全挑戰。由于更新速度快，供應鏈一旦遭遇攻擊，惡意代碼可能會迅速傳播到各個開發系統。在這一階段，安全左移成為實現軟件供應鏈安全的指導性思想，安全的價值體現在軟件開發過程中的各個環節。

在此背景下，阿里云策劃了一場關于云上安全的深度訪談欄目，匯聚阿里云內部眾多產品技術專家，攜手安全領域從業者，旨在通過全方位、多角度交流碰撞，分析容器安全與軟件供應鏈安全之間的關系，揭示軟件開發過程中存在的安全隱患與應對之道，幫助用戶更好地建設和落地軟件供應鏈安全及容器安全體系。

本期節目邀請到的是阿里云產品專家穆寰、阿里云容器服務高級技術專家匡大虎、阿里云容器服務技術專家黃竹剛，圍繞軟件供應鏈安全、容器安全的主要挑戰以及阿里云如何幫助用戶等維度展開了深入的討論。

• 企業應用云原生化進入深水區
• 踐行DevSecOps離不開容器安全

2024年7月，微軟藍屏席卷了全球，至少20多個國家的交通、金融、醫療、零售等行業或公共服務的業務系統受到影響。這一事件的發生再度引發了業界對軟件供應鏈安全的擔憂。

近年來，針對軟件供應鏈的攻擊事件愈演愈烈。2023年9月，某黑客組織使用域名仿冒和星標劫持技術向開源包管理器PyPi植入一系列惡意包，攻擊者可借此攻陷用戶設備，竊取金融和個人信息，登錄憑據等敏感數據。2024年3月又爆出了一個威脅評分為滿分10分的供應鏈漏洞，攻擊者“臥薪嘗膽”3年時間，通過一系列復雜的混淆和替換技術在一款開源軟件XZ中植入了后門。幸運的是，由于發現及時，該漏洞并沒有造成大范圍的嚴重后果。

這些安全事件進一步反映出當下供應鏈安全的嚴峻形勢。2024年某海外安全廠商發布的《2024軟件供應鏈攻擊演化》報告中，自2019年以來，軟件供應鏈攻擊平均每年以742%的速度增加。同時某安全廠商的開源安全風險分析報告中對17個行業一千多個商業代碼庫進行了匿名分析，在分析結果中顯示，其中84%的代碼庫中包含安全漏洞，更有74%的代碼庫包含高危安全漏洞。

現階段，越來越多的企業將DevSecOps視為保障軟件供應鏈安全的有力手段。DevSecOps 是一種將安全深度融入軟件開發生命周期的新型軟件開發實踐方法。與傳統開發流程不同的是，DevSecOps主張在軟件開發的每個階段都主動考慮和集成安全性，而不是將安全性視為事后的補充。

與此同時，容器安全在現代軟件開發和部署中，與DevSecOps一起成為兩個密切相關的概念。

在DevSecOps流程中，容器安全被視作整體安全策略的一個重要組成部分。這意味著企業在應用云原生化進程中需要在開發、CI/CD、部署和運行階段都以自動化和持續監控的方式集成容器安全。同時DevSecOps流程中強調的協作和循環反饋的文化理念也能夠保證企業容器化應用持續的安全水位。

• 容器安全面臨的三個挑戰

容器安全指的是基于容器技術的應用云原生化改造后的安全防護，主要針對應用容器化改造帶來的重點安全風險和挑戰。相較傳統的架構，企業應用在進行容器化轉型過程中的安全挑戰來自以下三個方面：

首先是云原生平臺基礎設施。云原生平臺層組件相較于傳統架構引入了更多的配置項和隔離層，這就給企業安全管理運維人員提出了更高的運維要求。如何保證平臺基礎設施層的默認安全性，如何在遵循最小化權限原則基礎上進行授權操作，如何建立云原生應用系統的安全審計和監控能力，這些新的挑戰都需要云服務商和企業安全管理運維人員協同構建并最終實施到企業云原生化轉型后的系統應用架構中。

其次是DevOps軟件供應鏈。云原生彈性、敏捷和動態可擴展的特征極大地改變了傳統應用部署模式，應用自身的生命周期被大幅縮短，而企業應用的迭代效率則大幅提升，在企業供應鏈架構變革的同時需要構建和實施適配供應鏈各階段的安全防護能力。

最后是應用范式上的改變。隨著微服務架構在企業中的廣泛應用，傳統的基于南北向流量的安全邊界模式已經變得不適用，企業需要更加細粒度的身份認證和訪問控制；同時Serverless和函數計算等新技術開始流行，對于云服務商在基礎設施層的安全隔離性和監控能力提出了更高要求，而應用的容器形態則需要新的運行時安全監控告警和資產管理模式與之對應。

• 實現容器安全的改進策略建議

針對上述挑戰，阿里云表示，絕大多數的企業云原生安全的發展都落后于應用的云原生化進程，而想要改進則需要集中在以下三個方向：

首先是身份和訪問管理。線上授予的權限與實際需要的權限之間存在巨大差異，無疑會給攻擊者可乘之機。

其次是漏洞和配置管理。大多數的企業生產鏡像都沒有經過安全加固和最小化的裁剪收斂，另外很多線上應用因為開發調試的一時方便而在容器層配置了過高的特權。

在云原生Kubernetes集群的典型攻擊路徑中，由于云原生技術架構的復雜性，容器應用、運行時、Kubernetes編排引擎、鏡像倉庫以及內核層都可能給整個應用系統引入新的風險，而近年來不斷爆出云原生社區相關的CVE漏洞中，攻擊者可以利用的攻擊方式也是多種多樣，像一般的提權、仿冒、篡改、抵賴、拒絕服務等典型攻擊手段都出現在了近兩年公開披露的漏洞利用方式中。

最后是監控和響應。由于大多數用戶缺少針對容器資產的運行時監控和防護手段，在針對突發的攻擊事件時無法有效完成定位和溯源。

因此，阿里云建議必須針對容器場景采取對應的安全防護手段。例如，默認安全和最小化授權，基于安全左移原則的漏洞和風險分級管理機制，建立容器部署的安全準入機制，針對容器的運行時監控告警以及云原生安全資產管理。

• 針對容器安全
• 阿里云的解決方案

在實踐層面，圍繞容器構建、部署及應用運行這三個階段，阿里云推出了針對性的產品和服務。

針對容器構建階段的安全需求，阿里云容器鏡像服務 ACR 提供了隔離的鏡像構建環境、智能化的鏡像構建診斷、鏡像漏洞掃描、鏡像加簽、SBOM 軟件物料清單分析以及制品漏洞信息反查等多個安全特性，助力企業構建安全的容器制品。

針對容器部署階段的安全需求，阿里云容器服務 ACK 提供了精細化的集群訪問控制、完備的集群操作審計、與應用相結合的鏡像驗簽、工作負載安全策略等安全特性。

針對應用運行階段的安全需求，阿里云容器服務 ACK 提供了應用維度的最小化授權方案 RRSA、節點池和 Pod 維度的網絡安全組和安全策略以及容器內操作審計、安全沙箱容器和機密容器等多個安全方案。

阿里云表示，針對容器軟件供應鏈日益嚴峻的安全形勢，容器服務ACK、ACR、ASM通過一系列安全產品能力，實現了“連點成線”的供應鏈風險分析和防御機制，同時面向企業安全管理員提供了開箱即用的產品能力。

今年，面向供應鏈安全的典型客戶需求，ACR容器鏡像服務支持OCI社區1.1版本的鏡像和分發規范，標志著客戶可以通過ACR管理和分發鏡像簽名以及SBOM這樣的非鏡像OCI制品，同時結合ACK的策略治理能力，幫助企業客戶實現通用的制品自動化加簽和驗證方案，保證部署到生產集群中的鏡像是完整可信的。

同時ACK容器服務還針對授權過大和容器逃逸后的節點內橫向攻擊等風險，有針對性地提供了對應的加固和防護能力。

阿里云網格服務ASM提供一個全托管式的服務網格平臺，兼容社區Istio開源服務網格，用于簡化服務的治理，包括服務調用之間的流量路由與拆分管理、服務間通信的認證安全以及網格可觀測性能力，幫助企業實現應用無感的零信任安全。

基于此，用戶可以通過結合ACR、ACK、ASM 所提供的多種安全能力以及阿里云云安全中心所提供運行時安全能力，構建涵蓋整個軟件開發生命周期的端到端的企業安全運營和防護體系。

• 結語
• 阿里云攜手客戶共筑供應鏈安全

實現軟件供應鏈安全，不僅需要企業采用針對性的策略，還需要建立對應的企業安全文化意識。除此之外，阿里云認為，做好軟件供應鏈安全還需要從多個方面入手：

首先，加強基礎設施的安全性。阿里云致力于提供高可靠性和高安全性的云計算基礎設施，為企業軟件供應鏈提供一個穩定可信的平臺基礎安全能力。

其次，技術創新是保障供應鏈安全的重要手段。阿里云利用人工智能、機密計算等前沿技術，幫助企業監測和預測潛在的安全威脅，提升供應鏈的整體預警和響應能力。

最后，阿里云倡導普惠和協同的安全理念。阿里云容器服務會同上下游合作伙伴的緊密合作，通過提供靈活可擴展的安全解決方案，建立有關云原生和容器安全最佳實踐和安全威脅情報的信息共享和責任共擔的機制，在DevSecOps理念的指導下構建更完善的供應鏈安全防護體系。

在未來，阿里云容器服務會在內部踐行DevSecOps流程的同時，還會通過ACK、ACR、ASM、云安全中心等服務提供涵蓋容器供應鏈安全流程關鍵階段的核心安全產品能力，攜手客戶共筑供應鏈安全。

• 下期預告

隨著企業上云的加速和數字化轉型，辦公安全面臨新的難題和考驗。下期將為大家帶來無影安全辦公專場，分享無影AI云電腦構建的云、網、端一站式全面安全防護體系，如何助力千行百業安全辦公。