KubeSummit 2025

在 Kubernetes 环境中进行开源软件治理的实践

在 Kubernetes 环境中,大量容器镜像构建于开源组件之上,这在提升开发效率的同时,也带来了严重的安全与合规隐患。首先,Kubernetes 平台部署规模大、变化快,使得一旦引入高危漏洞或许可不合规的依赖,很容易在大规模集群中传播,形成“放大效应”。其次,传统安全治理手段往往只聚焦于代码扫描或边界防护,难以覆盖镜像构建、部署、运行等各阶段的真实风险。尤其在运行时环境中,攻击者可借助开源组件的漏洞实施横向移动、逃逸攻击或远程控制,且难以被及时发现。


此外,治理流程碎片化是另一大痛点。安全策略往往依赖人工配置或事后审计,缺乏统一标准,难以落地执行。而开发团队在面对海量安全告警时,易产生疲劳感或误判,进而影响交付节奏和团队协作氛围。


为应对这些挑战,开源软件治理方案需要具备全生命周期的能力。

第一步是构建 SBOM(软件物料清单),实现镜像组件的全面可见性。通过在 CI/CD 阶段自动生成并归档 SBOM,安全团队可清晰掌握每个镜像依赖项及其来源。


第二步是构建统一的策略引擎,对漏洞等级、许可证类型、来源可信度等维度制定准入规则,实现“有问题的组件不得进入仓库、不允许部署到集群”的前置阻断机制。


第三步是引入运行时监控与行为分析机制,检测容器在实际运行过程中是否存在异常进程、恶意网络连接或违规文件行为,实现事中防护与溯源。


最后,治理方案还需关注开发体验,提供可视化报告、合规建议与修复路径,并集成到开发工具链中,推动安全左移,实现治理自动化、透明化和协同化。


通过以上多维度手段的组合,企业可在 Kubernetes 环境中建立一套覆盖“开发—构建—部署—运行”的开源软件治理闭环体系,从而提升集群的安全性、合规性与运维效率。


《聽眾收穫》

理解开源软件在 Kubernetes 中的风险本质

听众将认识到镜像层级的开源依赖如何引入漏洞、合规隐患,以及这些问题如何在集群中快速扩散。


掌握开源治理的全生命周期关键环节

包括 SBOM 构建、依赖扫描、策略阻断、运行时监控等,从源头到运行阶段的完整治理链路。


学习如何落地自动化治理机制

了解如何在 CI/CD 中实现依赖可视化、安全策略执行与准入控制,提高治理效率与准确性。


借鉴实践中的治理模型与流程设计

从工具选型、团队协作到策略落地,听众将获得可直接参考和复用的治理流程蓝图。


树立安全左移与运行时协同的 DevSecOps 思维

深刻体会治理不仅仅是合规要求,更是现代云原生安全体系的基石。

王青 (Alex Wang)

講者

王青 (Alex Wang)

JFrog
Director of Solution Engineering
LEVEL

通識

TAGS
CI/CD
容器資安