近日，由中国信息通信研究院（以下简称“中国信通院”）、中国通信标准化协会主办的“2022云原生产业大会”在京圆满举行。会上中国信通院公布了最新的云原生领域评估结果、云原生优秀案例，成立了云原生安全实验室，发布了国内首个云原生安全测试平台，并推出了多本云原生领域白皮书，并有多位来自产业各方的行业专家围绕云原生进行了主题演讲。小佑科技深度参与其中，进入多项榜单，成为云原生安全实验室和国内首个云原生安全测试平台的首批成员单位，参与编写了国内首个云原生API安全标准，同时小佑科技创始人&CEO袁曙光也作为云原生安全领域的权威专家参与组建云原生安全实验室专家委员会，并于6月21日主持了云原生安全分论坛。云原生安全实验室首批成员单位云原生安全实验室（Cloud

历经多年发展，我国云原生技术生态已趋于完善、行业用户接纳度急速提升、资本市场热潮涌动，可以预见我国云原生产业即将进入高景气周期。在用户侧，全面转型云原生已是大势所趋，但云原生技术架构的重塑和应用模式的变革引入了新的安全风险，镜像漏洞、容器逃逸以及微服务细粒度拆分带来的服务交互安全等问题正威胁着企业的云原生平台和应用，云原生安全建设成为企业云原生平台建设和应用云原生化改造进程中的必备项。北京小佑科技有限公司是国内最早从事云原生安全的科技创新企业之一，也是入选Gartner

结合第2步和第4步的结果，找出存在相应条件的镜像或资产，既满足JDK9及以上版本,又满足spring-bean*.jar的存在，继而可以筛选出可能受影响的资产，再做下一步的处理。自查受影响的资产1.

接着通过loopback_ops地址计算出了KALSR的偏移，有了这个，就可以准备ROP代码了。准备完成后，通过一次同样的setxattr+fuse操作，不过这次是直接篡改net_device

按照国家及北京市“专精特新”相关政策要求，北京市经济和信息化局组织开展了北京市2022年度第二批“专精特新”中小企业征集及评审工作，并于2022年3月14日起对该批次认定企业名单向社会进行公示，小佑科技成功入选。“专精特新”中小企业是北京市经济和信息化局根据《关于推进北京市中小企业“专精特新”发展的指导意见》(京经信发〔2019〕86号)等有关文件的要求设立的，旨在引导中小企业走“专业化、精细化、特色化、新颖化”发展之路，培育一批在细分行业内技术实力强、产品质量好、服务水平优、市场份额高、品牌影响大、发展前景广的中小企业，是对企业的经营条件、创新能力、专业化程度、精细化程度等方面的实力进行综合评定。小佑科技是国内最早从事云原生安全的科技创新企业，也是入选Gartner

镜界容器安全防护平台是由小佑科技倾力打造的创新安全产品。镜界基于”持续自适应风险与信任评估”的安全理念，以CNAPP为导向，面向云原生时代的基础设施架构，提供容器的全生命周期安全防护方案。后记

2022年03月07日，国外安全研究员披露了一个Linux内核本地提权漏洞CVE-2022-0847，命名为“Dirtypipe”。攻击者通过利用此漏洞可进行任意可读文件重写，将普通权限用户提升到root权限。目前网上已有公开的漏洞利用工具PoC，但目前还未有对容器环境影响分析，于是就有了这篇文章。0x

CNAPP创新洞察报告的云原生安全厂商，容器安全行业标准的第一批起草单位，Harbor国内首家安全厂商合作伙伴，国内首家加入CNCF的云原生安全厂商。2019年发布了国内首款容器安全产品

12月28日，“2021可信云安全论坛”在北京正式举行。本届论坛由中国信息通信研究院（以下简称“中国信通院”）主办，云计算开源产业联盟承办，中国通信标准化协会云计算标准和开源推进委员会支持。作为大会的重要环节之一，论坛上公布了首批“云安全守卫者计划”优秀案例，小佑科技申报的光大银行“全栈云容器安全平台建设”和“中信证券云原生安全实践”两个案例双双获奖，成为“云工作负载安全类”唯一双优秀案例企业。随着云计算安全态势日益严峻，安全性成为影响云计算充分发挥其作用的核心要素，云安全产品、解决方案涌现，为云上资产安全提供有力保障。为了引导云安全领域产品的发展方向，中国信通院于2021年10月至12月开展了“云安全守卫者计划”优秀案例征集活动，选拔出一批成熟度高、具有示范作用的优秀云安全案例。为更好地引导国内云工作负载保护平台（Cloud

CNAPP创新洞察报告的云原生安全厂商，容器安全行业标准的第一批起草单位，也是Harbor国内首家安全厂商合作伙伴，国内首家加入CNCF的云原生安全厂商。2019年发布的国内首款容器安全产品

Log4j2广泛地应用在中间件、开发框架、Web应用中。漏洞危害性高，涉及用户量较大，导致漏洞影响力巨大。因此，此漏洞风险评级为：高危影响范围

2021中国网络安全产业全景图》（第三版），小佑科技作为国内最早进入云原生领域的安全厂商，凭借扎实的云原生安全技术以及良好的用户口碑上榜“云原生安全”细分领域榜单。相较第二版，CCSIP

Databricks。在涛思数据创始人陶建辉看来，随着计算机技术的发展，开源软件在操作系统、编译工具链、数据库、WEB服务器、移动操作系统等方面已显现其主流趋势。开源软件，特别是核心代码（Open

在渗透测试中以获取最高的权限为目标，当拿到的shell是低权用户时就需要进行提权操作，提权时可以利用软件漏洞、配置不当以及内核漏洞。本次对应这三个方面分别介绍下sudo提权、suid提权以及CVE-2017-16995（内核漏洞提权）。1.sudo提权

访问提供了三种安全访问控制措施：认证、鉴权和准入控制。认证解决用户是谁的问题，授权解决用户能做什么的问题，准入控制则是资源管理方面的作用。通过合理的权限管理，能够保证系统的安全可靠。一、认证

36氪获悉，云原生安全公司北京小佑科技有限公司（以下简称「小佑科技」）已于日前完成数千万元A轮融资，亦是目前国内云原生安全领域最大单笔融资。本轮融资由动平衡资本领投，普华资本、名川资本以及老股东九合创投跟投，航行资本提供独家财务顾问服务。

前言讨论云原生安全，大家首先会想到容器镜像安全。虽然传统安全领域没有这个概念，但在云原生安全领域，容器镜像的安全首当其冲，也是规划与建设的第一步。传统的主机在发现漏洞后，可以通过打补丁的方式进行修复，因此也被称为“可变基础设施”或“动态基础设施”。而在云原生技术栈中，作为镜像的运行态副本，容器内的所有修改都不会保存到镜像。因此当容器重启或弹性扩容时，新生成的容器仍然是与镜像保持一致。这也就是所谓的“不可变基础设施”。不可变基础设施带来了一系列收益，例如更高的一致性和可靠性，以及更简单，更可预测的部署过程，也能缓解和防止配置漂移和“雪花服务器”等问题。同时也引入了安全运营时处置方法的差异。因为基于安全的镜像生成的容器是安全的，基于不安全的镜像生成的容器仍然是不安全的。所以在云原生领域，如果发现了容器的安全风险，第一反应就是修复镜像。容器镜像镜像是一个特殊的文件系统，通常包含了容器运行时所需的程序，库，资源，配置等，还可能包含一些为运行时准备的一些配置参数，但不包含任何动态数据。每一个容器运行时，是以镜像为基础层，在其上创建一个当前容器的可读写层，如下图所示。所以镜像可以描述为一堆只读层的统一视角。安全扫描由于这种分层的存储形态，使得传统漏洞扫描产品无法支持，而必须采用专门的镜像扫描工具或产品，例如开源项目

年成立，标志着云原生从技术理念转化为开源实现，并给出了目前被广泛接受的定义:云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中，构建和运行可弹性扩展的应用。云原生的代表技术包括

等。FalcoFalco最初是由Sysdig创建的，后来加入CNCF孵化器，成为首个加入CNCF的运行时安全项目。Falco可以对Linux系统调用行为进行监控。Falco的主要功能如下：•

一、概览云原生技术架构在带来颠覆性技术架构变革的同时，也带来了新的安全要求和挑战。在过去几年以及未来数年内，云原生架构会成为黑客攻击和利用的重点。Kubernetes，简称k8s，是当前主流的容器调度平台，更被称为云原生时代的操作系统，可见其重要性。简单来说，k8s是一个可移植的、可扩展的开源平台，用于管理容器化的工作负载和服务，可促进声明式配置和自动化。本文从k8s用户授权方面来谈谈针对k8s集群渗透的手法，如有不足之处，还望各位老师傅进行斧正。二、Kubernetes中的用户Kubernetes

摘要8月25日，Gartner首次发布《云原生应用保护平台创新洞察》（Innovation

前言安全的系统都是相似的，不安全的系统各有各的风险。云原生技术架构在带来颠覆性技术架构变革的同时，也带来了新的安全要求和挑战。在过去几年以及未来数年内，云原生架构会成为黑客攻击和利用的重点。作为网络安全工作者，你不能保护你看不到的资产，同样你也防御不了你不知道的漏洞和攻击。因此，我们对云原生技术架构面临的安全挑战进行了简单的梳理，作为一个系列的序章。什么是云原生云原生（CloudNative）是一个组合词，Cloud+Native。Cloud表示应用程序位于云中，而不是传统的数据中心；Native表示应用程序从设计之初即考虑到云的环境，原生为云而设计，在云上以最佳姿势运行，充分利用和发挥云平台的弹性+分布式优势。在具体的技术实践中，容器（包括编排工具Kubernetes）、DevOps、微服务形成了云原生时代的“三驾马车”。其中，容器是基础设施，DevOps侧重流程，微服务是软件架构。三者作为铁三角互相补充，但又以容器技术为底层基础。这也是为什么我们后面讨论云原生的优势或风险时容器都占了大部分，我们的产品设计时也是以容器安全为起点。按照Gartner在2021年发布的调查报告，在91个参与调查的企业或组织中，60%目前正在使用容器技术，27%正在试点/测试，12%计划采用。受访者来自世界各地，其中大部分来自欧洲（49%）和北美（33%）。而在国内，根据信通院的统计数据，2020年43.9%的国内用户已在生产环境中采纳容器技术，超过七成的国内用户已经或计划使用微服务架构进行业务开发部署等。云原生相关技术受到如此重视和普及，是因为它所能带来的实实在在的收益。云原生的优势拥抱变化应对风险唯一不变的就是变化。软件生命周期中面临的变化可能来自于三个方面，功能需求变化、架构调整/代码重构、业务访问量的增减。DevOps采用小步快跑的方式，从MVP（最小化可行产品）逐渐丰富功能特性，每一次迭代后都可以重新审视来自用户的需求变化并迅速做出应对。容器平台支持极速的弹性扩缩容，可以快速响应用户访问量增减带来的性能需求变化。而微服务则可以灵活地应对架构的调整、扩展、复用。提升研发和交付效率提升效率的一个重要方法论是标准化，从而自动化，进而智能化。由于容器镜像采用了“不可变基础设施”的理念，提供了完整的运行时环境，确保了执行环境的一致性，也就是“标准化”。K8S和CI/CD的接合则促进了“自动化”，使得应用迁移更加容易，支持一键快速部署，提升交付效率。降低成本微服务架构，可以支持组件复用，避免重复造轮子。而容器技术的采用，可以有效地提升企业数据中心硬件服务器的资源利用率（10%~30%）。此外，由于同一个镜像在开发环境、测试环境或生产环境的表现具备一致性，使其更不容易出现故障，从而提高MTBF（平均故障间隔时间）。即使偶尔故障，也会由于容器天然支持故障自愈的高可用特性，运维成本得到大大降低。

、CONFIG_NET_NS被开启，则攻击者可以通过该漏洞实现权限提升，以及从docker、k8s容器中实施容器逃逸。2.漏洞环境和样例2.1.环境准备Linux发行版：Ubuntu

8月1日，全球开源技术峰会（GOTC）“开源云原生计算时代论坛”专题论坛在深圳成功举办，小佑科技创始人&CEO袁曙光受邀参加并发表了“云原生安全的攻与防”主题演讲。全球开源技术峰会（GOTC）是由开放原子开源基金会与

6月16日，由中国网络安全产业联盟（CCIA）主办的“2021CCIA网络安全产业发展论坛暨网络安全优秀创新成果大赛启动仪式”在京顺利举办。本次会议隆重发布了2021年度“CCIA50强、CCIA成长之星、CCIA潜力之星”榜单，小佑科技凭借自身在云原生安全领域领先的技术实力、持续的创新能力以及高成长性荣获"2021年中国网络安全潜力之星"(CCIA潜力之星)“，这也是继去年CCIA首次发布该榜单以来，小佑科技连续第二年获此殊荣。本榜单由中国网络安全产业联盟（CCIA）联合数说安全根据2021年我国网络安全产业现状调研结果，采用多维度综合评价法，坚持公平公正、客观中立，充分注重评价结果与市场的贴合度，对我国网络安全产业格局和企业竞争力进行了综合严谨的研究后评选而出，旨在促进企业用户全面了解我国网络安全产业发展现状、分析网络安全技术和产业发展趋势，为相关政策制定、企业发展决策、项目采购、战略规划、了解行业与市场，提供具备较强参考价值的多维度信息，其中“潜力之星”区域内的优秀企业业务具有较强的创新性，代表着产业创新的未来，已成为安全行业中热门的创投标的。连续两年上榜，既是小佑科技在云原生安全领域技术优势与市场竞争力的体现，也代表着行业与市场对小佑科技创新能力和未来发展的认可与肯定，本次上榜将进一步激励我们在云原生安全领域持续深耕，不断加强自身技术实力和创新能力，保持在细分领域的高成长性和强竞争力，不断优化和完善产品功能，集成前沿技术变成可落地的解决方案，以产品加服务的方式帮助客户实现安全价值的最大化，为国家的云原生安全发展保驾护航。

国内数字化产业第三方调研与咨询机构数世咨询于今日正式发布《中国网络安全百强报告(2021)》（以下简称百强报告）。百强报告调研了国内700余家经营网络安全业务的企业，基于上百项评价指标结合多种角度、不同维度的企业相关数据进行梳理和评价。报告分为两大部分，一是综合实力较为突出的100家企业，评为「综合实力百强」，并划分为领军者、竞争者和挑战者三类，通过品牌影响力、企业规模、技术创新力三大维度，以数轴点阵图的形式予以展现。二是「创新能力百强」企业的推荐，目的在于突出业务规模目前较小，但在网络安全技术创新能力方面表现优秀的企业。

库来解析任何符号链接并确保解析的目标在容器根目录中，但是如果用符号链接替换检查的目标文件时，可以将主机文件挂载到容器中。黑客可利用该漏洞能将宿主机目录挂载到容器中，来实现容器逃逸。0x02

云原生相对于传统云计算的架构发生了较大变化，我们需要了解云原生安全的特点，才能针对性的进行安全规划和建设。本文先介绍了云原生的安全特点，后续会继续谈谈云原生的安全如何规划以及具体的落地措施。

(CNCF)，成为国内首家加入CNCF的云原生安全厂商。作为CNCF的一员，未来小佑科技将与社区联合，全面融入全球云原生技术生态，积极推动云原生的发展和繁荣。CNCF,