近日，由中國信通院主辦的安全運營發展論壇在北京召開，會上公布了“安全守衛者計劃——安全運營專題”優秀案例征選結果。北京火山引擎科技有限公司攜手金拱門（中國）有限公司共同申報的《容器安全全生命周期建設》項目案例成功入選優秀案例名單。

“安全守衛者計劃——安全運營專題”是由中國信通院發起的優秀案例征集活動。目的是引導安全領域產品的發展方向，選拔出一批成熟度高、具有示范作用的優秀安全案例。經過多輪嚴格評審，火山引擎申報的容器安全實踐案例成功脫穎而出，充分體現了火山引擎在云原生安全領域的競爭實力。

《容器安全全生命周期建設》項目從金拱門實際容器平臺業務場景出發，與業務端DevOps模式轉型深度融合，有效解決了用戶在鏡像安全掃描分析、運行時安全、容器基礎設施環境安全等方面實際的需求痛點，保障了金拱門數字化業務安全穩定的運行。

火山引擎在云原生領域有著豐富的技術實踐經驗，通過將安全原生的理念融入金拱門容器云業務架構建設中，為客戶的數字化轉型提供了堅實的安全保障，并帶來以下效益：

安全易用，能效提升

鏡像供應鏈的安全保障是容器安全運行的基礎，除了基礎的安全掃描分析加固之外，火山引擎通過自定義基礎鏡像、精細化的漏洞風險分析以及多樣化的鏡像阻斷手段，來幫助用戶提升鏡像安全運營效率。

運維部門通常會將獲取的源鏡像，進行安全掃描修復后，放入鏡像倉庫作為基礎鏡像，同時所有的業務鏡像都是由開發部門提供應用代碼，在基礎鏡像上構建而成的?；鹕揭嫒萜靼踩a品在后續的安全掃描中，能夠自動化識別出脆弱性是否屬于基礎鏡像引入，按照責任歸屬提交運維部門或者開發部門進行修復。修復過程中，會優先修復基礎鏡像存在的問題，以提升修復效率。

另外，火山引擎容器安全產品對鏡像漏洞風險引入智能化分析評分機制，不僅基于CVE本身的風險要素，還結合容器運行的環境要素進行綜合評定（如特權容器、端口監聽、異常事件等要素），給出最適合實際場景的修復優先級建議。

在最后環節中，鏡像在生產環境中啟動成容器時，產品會幫助設置合理的安全卡點，并依據鏡像的脆弱性風險進行自動化鏡像啟動阻斷，防止鏡像帶病上線。

技術領先，全面防治

火山引擎以容器原生特性為基礎創新技術路線，以業內領先的行為建模分析技術為基礎，全面覆蓋容器運行時遇到的各類已知和未知威脅。

如圖，產品客戶端組件會進行廣泛的容器資產行為收集，可收集各類資產靜態特征和動態行為。進一步利用容器的不變性和單一性，通過行為基線、廣譜規則對異常行為進行檢測，多維度數據關聯分析，提升未知威脅檢測的準確性。從而全面覆蓋各類高級入侵行為，如容器逃逸、反彈shell、遠程控制、挖礦等威脅。

原生部署，安全穩定

火山引擎提供的所有產品組件全部以云原生化的方式進行部署，以非特權平行容器的方式運行，可自主設置資源消耗上限，對業務運行“0”影響，深得用戶信賴。

在未來，火山引擎會不斷加大對云原生安全領域的探索，深度洞察技術發展趨勢，輸出更多的內部技術實踐經驗，不斷加深和專業客戶的合作，共創共建出更多的優秀實踐案例。