KubeSummit 2025

講者資訊

王青 (Alex Wang)

王青 (Alex Wang)

JFrog
Director of Solution Engineering

Wang Qing, 

Technical Director of JFrog East Asia, with fifteen years of experience in agile research and development management and software engineering practices.

Prior to joining JFrog, Wang Qing worked with several large enterprises, including IBM, HP, and iQiyi.

演講議程

在 Kubernetes 环境中进行开源软件治理的实践

在 Kubernetes 环境中,大量容器镜像构建于开源组件之上,这在提升开发效率的同时,也带来了严重的安全与合规隐患。首先,Kubernetes 平台部署规模大、变化快,使得一旦引入高危漏洞或许可不合规的依赖,很容易在大规模集群中传播,形成“放大效应”。其次,传统安全治理手段往往只聚焦于代码扫描或边界防护,难以覆盖镜像构建、部署、运行等各阶段的真实风险。尤其在运行时环境中,攻击者可借助开源组件的漏洞实施横向移动、逃逸攻击或远程控制,且难以被及时发现。


此外,治理流程碎片化是另一大痛点。安全策略往往依赖人工配置或事后审计,缺乏统一标准,难以落地执行。而开发团队在面对海量安全告警时,易产生疲劳感或误判,进而影响交付节奏和团队协作氛围。


为应对这些挑战,开源软件治理方案需要具备全生命周期的能力。

第一步是构建 SBOM(软件物料清单),实现镜像组件的全面可见性。通过在 CI/CD 阶段自动生成并归档 SBOM,安全团队可清晰掌握每个镜像依赖项及其来源。


第二步是构建统一的策略引擎,对漏洞等级、许可证类型、来源可信度等维度制定准入规则,实现“有问题的组件不得进入仓库、不允许部署到集群”的前置阻断机制。


第三步是引入运行时监控与行为分析机制,检测容器在实际运行过程中是否存在异常进程、恶意网络连接或违规文件行为,实现事中防护与溯源。


最后,治理方案还需关注开发体验,提供可视化报告、合规建议与修复路径,并集成到开发工具链中,推动安全左移,实现治理自动化、透明化和协同化。


通过以上多维度手段的组合,企业可在 Kubernetes 环境中建立一套覆盖“开发—构建—部署—运行”的开源软件治理闭环体系,从而提升集群的安全性、合规性与运维效率。


《聽眾收穫》

理解开源软件在 Kubernetes 中的风险本质

听众将认识到镜像层级的开源依赖如何引入漏洞、合规隐患,以及这些问题如何在集群中快速扩散。


掌握开源治理的全生命周期关键环节

包括 SBOM 构建、依赖扫描、策略阻断、运行时监控等,从源头到运行阶段的完整治理链路。


学习如何落地自动化治理机制

了解如何在 CI/CD 中实现依赖可视化、安全策略执行与准入控制,提高治理效率与准确性。


借鉴实践中的治理模型与流程设计

从工具选型、团队协作到策略落地,听众将获得可直接参考和复用的治理流程蓝图。


树立安全左移与运行时协同的 DevSecOps 思维

深刻体会治理不仅仅是合规要求,更是现代云原生安全体系的基石。