--- GA: UA-34467841-15 --- # 在 Kubernetes 環境中進行開源軟件治理的實踐 - 王青 (Alex Wang) ###### tags: `KubeSummit2025` `K8s2025` `2025` `kubernetes` `F 會議室` `CI/CD` `容器資安` <blockquote> 在 Kubernetes 環境中，大量容器鏡像構建於開源組件之上，这在提升开发效率的同时，也带来了严重的安全与合规隐患。首先，Kubernetes 平台部署规模大、变化快，使得一旦引入高危漏洞或许可不合规的依赖，很容易在大规模集群中传播，形成“放大效应”。其次，传统安全治理手段往往只聚焦于代码扫描或边界防护，难以覆盖镜像构建、部署、运行等各阶段的真实风险。尤其在运行时环境中，攻击者可借助开源组件的漏洞实施横向移动、逃逸攻击或远程控制，且难以被及时发现。 此外，治理流程碎片化是另一大痛点。安全策略往往依赖人工配置或事后审计，缺乏统一标准，难以落地执行。而开发团队在面对海量安全告警时，易产生疲劳感或误判，进而影响交付节奏和团队协作氛围。 为应对这些挑战，开源软件治理方案需要具备全生命周期的能力。 第一步是构建 SBOM（软件物料清单），实现镜像组件的全面可见性。通过在 CI/CD 阶段自动生成并归档 SBOM，安全团队可清晰掌握每个镜像依赖项及其来源。 第二步是构建统一的策略引擎，对漏洞等级、许可证类型、来源可信度等维度制定准入规则，实现“有问题的组件不得进入仓库、不允许部署到集群”的前置阻断机制。 第三步是引入运行时监控与行为分析机制，检测容器在实际运行过程中是否存在异常进程、恶意网络连接或违规文件行为，实现事中防护与溯源。 最后，治理方案还需关注开发体验，提供可视化报告、合规建议与修复路径，并集成到开发工具链中，推动安全左移，实现治理自动化、透明化和协同化。 通过以上多维度手段的组合，企业可在 Kubernetes 环境中建立一套覆盖“开发—构建—部署—运行”的开源软件治理闭环体系，从而提升集群的安全性、合规性与运维效率。 《聽眾收穫》 理解开源软件在 Kubernetes 中的风险本质 听众将认识到镜像层级的开源依赖如何引入漏洞、合规隐患，以及这些问题如何在集群中快速扩散。 掌握开源治理的全生命周期关键环节 包括 SBOM 构建、依赖扫描、策略阻断、运行时监控等，从源头到运行阶段的完整治理链路。 学习如何落地自动化治理机制 了解如何在 CI/CD 中实现依赖可视化、安全策略执行与准入控制，提高治理效率与准确性。 借鉴实践中的治理模型与流程设计 从工具选型、团队协作到策略落地，听众将获得可直接参考和复用的治理流程蓝图。 树立安全左移与运行时协同的 DevSecOps 思维 深刻体会治理不仅仅是合规要求，更是现代云原生安全体系的基石。 </blockquote> {%hackmd @k8ssummit/announcement-2025 %} ## 會議資訊 **時間：** 15:10 ~ 15:50 **地點：** F 會議室 **日期：** 2025年10月22日 **語言：** 中文 **難度：** 通識 **相關連結：** - [KubeSummit 2025 官方網站](https://k8s.ithome.com.tw/2025) [target=_blank] - [KubeSummit 2025 議程表](https://k8s.ithome.com.tw/2025/agenda) [target=_blank] ## 筆記區 > 請從這裡開始記錄你的筆記 ## 討論區 > 歡迎在此進行討論與 Q&A [知名開源建置工具Nx遭植入惡意程式上架NPM，開發者憑證恐外洩](https://www.ithome.com.tw/news/170877) CNPM 是中國地區的 NPM 我們公司是直接設定一個 CVSS 分數 Threshold 作為是否能下載的依據，因此有新的開源弱點爆出，原本可以使用的 packages 就變得不可使用，更慘的是修正的版本也還沒 Release。而我們公司也是使用 JFrog，也沒看到相關負責管理部門透過 X-Ray 來排除假陽性狀況 😵‍💫 ## 相關資源 - 投影片連結：(待講者提供) - 相關文件：(待更新)