Skip to main content

moregeek program

华为云构建云原生devsecops平台,保障软件供应链全流程安全可信_华为云开发者社区的博客-多极客编程

摘要:面临网络安全挑战的大环境下,华为云构筑的云原生DevSecOps平台,打造了创新可控的安全服务,助力企业软件供应链全生命周期安全。

2022年8月13日,“2022中国DevOps社区峰会-天津站”顺利召开,邀请了行业众多大咖专家齐聚一堂分享交流,旨在传播DevOps文化、落地DevOps实践。

主会场上,华为云产品经理刘皓发表了“DevSecOps与软件供应链安全的业界实践”演讲,表示在面临网络安全挑战的大环境下,华为云构筑的云原生DevSecOps平台,打造了创新可控的安全服务,助力企业软件供应链全生命周期安全。

华为云构建云原生DevSecOps平台,保障软件供应链全流程安全可信_安全可信

2022年,Synopsys对市场上17个行业的2400多个商用产品的代码进行了分析,其中开源软件代码率超过78%,81%的代码都包含至少1个安全漏洞,53%的代码存在许可证冲突问题。

会上,刘皓分享到:“据IDC统计,国外公司的数据库产品占据了国内80%以上的市场份额,但依照新的出口管制规定,国外产品发现漏洞只有先经过审核后再决定是否公布,这必将给国内的网络安全带来极大的负面影响。”

华为云构建云原生DevSecOps平台,保障软件供应链全流程安全可信_软件开发_02

华为云产品经理刘皓发表“DevSecOps与软件供应链安全的业界实践”主题演讲

面对严峻的安全形势,全球范围已制定新的供应链安全策略,从供应链管理、软件的正确使用、安全研发框架、最小安全测试要求等多个方面制定全套供应链安全保障的标准框架,而 DevSecOps可以为供应链安全策略提供可落地的研发过程指导,从而降低供应链安全风险。

华为云基于华为30年的数字化转型经验和研发资源,构筑了一站式、全流程、安全可信的云原生的DevSecOps平台(华为云软件开发生产线DevCloud),保障软件供应链的生产安全。

一站式DevSecOps平台

提供超过10多种端到端子服务,覆盖软件开发全生命周期,同时支持7大服务换内核,保障极端情况下的业务不中断,依托自研内核,将系统容量并发竞争力提升1倍多。

安全可信

保障软件生产线全生周期的核心要素端到端可追溯,构建统一的漏洞库和开源软件优选库;代码安全检查支持多种语言类型,污点分析能力业界领先;提供业界领先的代码仓,支持认证鉴权、加密存储、备份机制、角色控制权限;具备三级漏洞安全检查、开源license合规性检查能力,内置15000多条检查规则,确保在全球200多个国家和地区市场的安全运行。

其中漏洞扫描服务VSS,具备检测全面、高效精准,无损扫描等特性优势,广泛应用于网站及主机扫描、二进制成分分析、移动应用安全扫描等场景。

  • 网站及主机扫描:提供Web安全测试、网站安全检查等保合规认证;
  • 二进制成分分析:不须依赖源码、安全可靠,覆盖100多个漏洞源及超过400万个开源组件版本,小时级频率更新漏洞,实现快速响应及修复,全面检测开源漏洞、安全配置、信息泄露等风险点。

华为云构建云原生DevSecOps平台,保障软件供应链全流程安全可信_安全可信_03

二进制成分分析任务概况

华为云构建云原生DevSecOps平台,保障软件供应链全流程安全可信_安全可信_04

二进制成分分析——开源漏洞分析
  • 移动应用安全扫描:覆盖率高,包含国家4部委20多条标准,紧贴各类监管规范,为鸿蒙及安卓应用提供隐私、漏洞、权限多方位检测,帮助企业快速识别APP合规安全风险。

华为云构建云原生DevSecOps平台,保障软件供应链全流程安全可信_云原生_05

移动应用安全扫描任务概况

华为云构建云原生DevSecOps平台,保障软件供应链全流程安全可信_安全可信_06

移动应用安全扫描——安全漏洞

应用场景全覆盖

满足微服务、API、移动应用、Web应用、Serverless应用、嵌入式应用等开发场景。比如在嵌入式场景,华为云提供业界领先的嵌入式场景云化工具,亿级代码构建仅需1小时,亿级用例管理、十万级用例并发测试,100+嵌入式代码检查规则,并支撑跨项目的协同管理。

目前,华为云软件开发生产线DevCloud已服务超过百万的企业与个人开发者用户,覆盖政务、工业、互联网、物流、教育、医疗、电商等诸多领域。比如,在物流领域,华为云携手德邦快递,半年时间内完成了从线下到云端开发流水线的转型,完成了750多条流水线业务交付,同时代码问题下降71.74%,大幅提升了软件生产的安全性。

面对充满不确定性的市场环境,华为云云原生DevSecOps平台致力于为千行百业提供稳定安全的软件供应链生产环境,赋能企业应用现代化,助力企业更可控、更安全的数字化转型。


点击关注,第一时间了解华为云新鲜技术~

©著作权归作者所有:来自51CTO博客作者华为云开发者联盟的原创作品,如需转载,请与作者联系,否则将追究法律责任
华为云构建云原生DevSecOps平台,保障软件供应链全流程安全可信
https://blog.51cto.com/u_15214399/5589370

对docker基础镜像的思考,该不该选择alpine_微言码道的博客-多极客编程

现在,相信主流的架构都是会选择容器来进行部署,这应该当没有疑问的。 我负责的所有项目,也都会使用容器来再结合容器编排工具(Docker Swarm或K8S,依据大小而定)进行声明式部署,非常方便高效。但在这其中,我也遇到一个问题并一直再思考怎么样才是更好的。 这个问题就是: 对于容器镜像来说,究竟该不该选择alpine镜像做为基础镜像? 一) 首先,要了解这个问题的来源,为什么纠结这种事呢。 当然

harbor v2.0 api 无法获取projects全部数量bug复现_键客李大白的博客-多极客编程

👨🏻‍🎓博主介绍:大家好!我是李大白,一名运维容器运维工程师,热爱分享知识🌟 🌈擅长领域:云原生、数据库、自动化运维🙏🏻如果本文章对小伙伴们有帮助的话,🍭关注+👍🏻点赞+🗣评论+📦收藏!🤝如果在文章描述时如有错,恳请各位大佬指正,在此感谢!!!🍂 落叶而知秋,博闻而强识!📕 精品专栏:​​Harbor进阶实战(企业级)​​ 文章来源:《Harbor进阶实战》公众 BUG描述 在使用curl命

prometheus 2.37.0 新特性_耳东-erdong的博客-多极客编程

Prometheus ​​2.37.0​​​ 现在(2022.07.14)已经发布,在上个月的 ​​2.36.0​​ 之后又进行了很多的修复和改进。这次发布的版本是一个 LTS 长期支持的版本,预计会支持到 2023.01.31,详细更多的信息可以查看 ​​https://xie.infoq.cn/article/1cca0d4d5f40b31ce78352aee​​由于 OpenBSD 中缺乏统

深度吐槽阿里云ack服务_对你无可奈何的博客-多极客编程

背景: 算是一个腾讯云深度用户,用了78年左右,由于业务需求,今年五月份开始逐步在阿里云跑了一些服务。不吹不黑。发自内心的吐槽一下阿里云的ack服务。其他服务没有多大发言权。都差不多。但是作为一个算是比较早期的kubernetes用户有必要吐槽一下阿里云的ack服务,没有办法。圈子里面没有阿里云容器组的人,像是腾讯云的tke的服务有问题可以直接找到相关人员反映,提交一下个人意见了。 深度吐槽阿里云

web api 介绍和类型_宇宙之一粟的漂泊之旅的博客-多极客编程

Web API 介绍如果你是一个初学者,甚至一想到API都有些害怕。那是一种什么样的黑暗魔法?以及为什么每个人都向API开发者支付数十万的费用。难道他们喝血,在月光下围着羊群献祭吗?很快,当那些很酷的孩子声称正在发明微积分时,你却不在状态,感觉就像下面的安迪。如果你认同它,你很幸运。我们要谈的是API。什么是API?API 是 Application Programming Interface的缩

kubernetes部署jenkins_feyncode的博客-多极客编程

一、动态生成Slave 1.1、简介 之前我们都是在物理机或者虚拟机上部署jenkins,但是这种部署方式会有一些难点,如下: 主 Master 发生单点故障时,整个流程都不可用了 每个 Slave 的配置环境不一样,来完成不同语言的编译打包等操作,但是这些差异化的配置导致管理起来非常不方便,维护起来也是比较费劲 资源分配不均衡,有的 Slave 要运行的 job 出现排队等待,而有的 Slav

prometheus 2.37.0 新特性_耳东-erdong的博客-多极客编程

Prometheus ​​2.37.0​​​ 现在(2022.07.14)已经发布,在上个月的 ​​2.36.0​​ 之后又进行了很多的修复和改进。这次发布的版本是一个 LTS 长期支持的版本,预计会支持到 2023.01.31,详细更多的信息可以查看 ​​https://xie.infoq.cn/article/1cca0d4d5f40b31ce78352aee​​由于 OpenBSD 中缺乏统

prometheus 2.36.0 新特性_耳东-erdong的博客-多极客编程

Prometheus ​​2.36.0​​​ 现在(2022.05.30)已经发布,在上个月的 ​​2.35.0​​ 之后又进行了很多的修复和改进。这次更新新增了很多的特性,并且修复一些 BUG 。这次更新的 Prometheus 版本使用的是 Go 1.18 ,之后的版本在构建的时候需要最小使用 Go 1.17 的版本,其他 Go 版本将不能在用来构建 Prometheus 。这次更新的内容相

零代码修改,教你spring cloud应用轻松接入cse_华为云开发者社区的博客-多极客编程

摘要:本文介绍了Sermant Agent的接入原理和如何使用Sermant Agent无修改接入CSE。本文分享自华为云社区《​​Spring Cloud应用零代码修改接入华为云微服务引擎CSE​​》,作者: 微服务小助手 。Sermant Agent介绍Sermant Agent是一种基于JavaAgent的无代理服务网格技术。它利用JavaAgent来检测主机应用程序,并具有增强的服务治理功

prometheus 启动时被禁止的功能特性_耳东-erdong的博客-多极客编程

Prometheus 有一些功能特性在服务启动的时候是默认禁止的,因为这些功能特性是对 Prometheus 有破坏性或是实验性质的,在未来的版本升级中这些特性会发生变化。如果发生了变化,这些变化会在每个版本的发行注记中进行标注和描述。我们在 Prometheus 启动的时候在命令行中使用 ​​--enable-feature​​ 参数来开启这些功能特性,如果实验性的功能特性在验证稳定之后,会在未

分布式协同ai基准测试项目ianvs:工业场景提升5倍研发效率_华为云开发者社区的博客-多极客编程

摘要:全场景可扩展的分布式协同AI基准测试项目 Ianvs(雅努斯),能为算法及服务开发者提供全面开发套件支持,以研发、衡量和优化分布式协同AI系统。本文分享自华为云社区《​​KubeEdge|分布式协同AI基准测试项目Ianvs:工业场景提升5倍研发效率​​》,作者 华为云|郑子木。在边缘计算的浪潮中,AI是边缘云乃至分布式云中最重要的应用。随着边缘设备的广泛使用和性能提升,将人工智能相关的部分

容器编排工具鉴赏- docker-compose 、kubernetes、openshift、docker swarm_博学谷狂野架构师的博客-多极客编程

任务编排工具 我们发现我们现在管理微服务比较麻烦,现在只是三个微服务,如果更多会更加麻烦,怎么办呢,下面我们就来学习下docker编排工具 什么是任务编排 编排是一个新的词汇,经过阅读才明白编排指的是容器的集群化和调度。另一类含义指的是容器管理,负责管理容器化应用和组件任务。 ​ docker毫无疑问是一个优秀的开源工具。但是,仅靠docker引擎和容器就不能进行复杂的应用程序