惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

C
CXSECURITY Database RSS Feed - CXSecurity.com
Help Net Security
Help Net Security
P
Privacy International News Feed
S
Securelist
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
T
Tor Project blog
AWS News Blog
AWS News Blog
K
Kaspersky official blog
A
Arctic Wolf
Latest news
Latest news
T
Threat Research - Cisco Blogs
L
LINUX DO - 最新话题
P
Privacy & Cybersecurity Law Blog
Security Archives - TechRepublic
Security Archives - TechRepublic
Google DeepMind News
Google DeepMind News
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
月光博客
月光博客
N
News and Events Feed by Topic
Jina AI
Jina AI
博客园 - 司徒正美
WordPress大学
WordPress大学
罗磊的独立博客
雷峰网
雷峰网
AI
AI
Hugging Face - Blog
Hugging Face - Blog
D
Darknet – Hacking Tools, Hacker News & Cyber Security
S
Security @ Cisco Blogs
博客园 - 三生石上(FineUI控件)
H
Heimdal Security Blog
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
酷 壳 – CoolShell
酷 壳 – CoolShell
C
Cisco Blogs
博客园 - 【当耐特】
The Hacker News
The Hacker News
有赞技术团队
有赞技术团队
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
www.infosecurity-magazine.com
www.infosecurity-magazine.com
Schneier on Security
Schneier on Security
博客园 - Franky
S
SegmentFault 最新的问题
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Cloudbric
Cloudbric
爱范儿
爱范儿
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
S
Secure Thoughts
Last Week in AI
Last Week in AI
Application and Cybersecurity Blog
Application and Cybersecurity Blog
Know Your Adversary
Know Your Adversary
Google DeepMind News
Google DeepMind News

博客园_首页

Plist 二进制格式 Milvus 和 PGVector,哪个更好? OpenClaw 已过时?在 VS Code 中运行 Hermes Agent! 第30篇文章:一个大三计科生的自白 Manim如何在数学公式中完美显示中文? Docker 部署 RocketMQ 5 并发编程核心概念辨析 C#事务处理最佳实践:别再让“主表存了、明细丢了”的破事发生 CLI 是什么?为什么大厂突然集体卷命令行? 【从0到1构建一个ClaudeAgent】协作-自主Agent UIImageView 设置图片不生效的原因排查 最小二乘问题详解20:无先验约束下的增量式SFM自由网平差 痞子衡嵌入式:大话双核i.MXRT1180之XIP应用里借助MU实现可靠Flash IAP的方法 AI Chat 封装, SemanticKerne.AiProvider.Unified 已发布 Windows下右键编辑js文件无法打开记事本——在注册表中使用环境变量 在后台服务中使用 Scoped 服务,为什么总是报错? H200 安装驱动并使用sglang启动模型 wireshark 抓包Trap上报告警内容 我用 AI 辅助开发了一系列小工具(2):图片压缩工具 [A Primer On MC and CC] 2.1 Memory Consistency 1 - 指令重排序和 SC 模型 Oracle数据库SCN推进技术详解与实践指南 玩转控件:封装个带图片的Label控件 Claude Code 4.7 真正该升级的不是模型,而是你的工作流 前端小白一句话,AI 帮我做了个颜值拉满的桌面媒体播放器。当代码不再是门槛,一句话编程就是现实。 5. WorkBuddy: 小龙虾的灵魂三件套,让你的小龙虾不只是工具 SQLite 分片方案实战:三种分片策略的深度对比 告别简陋 UI!一款基于 Fluent Design 和基于 WinUI 的开源免费、现代化的 Avalonia UI 控件库 关于二进制排列组合枚举的总结 AI开发-python-LangGraph框架(3-27-LangGraph从零实现大模型智能决策工作流) ElasticSearch主分片和副本分片概念详解 【002】HTTPS 粗解:证书、TLS 握手与对后端配置的影响 Hermes Agent 一周暴涨五万 Star,但我劝你别急着追 明明连接的是Redis的DB0,为什么能查到DB3的数据? 【从0到1构建一个ClaudeAgent】协作-Agent团队 熟悉电子元器件之后,电子小白下一步该怎么走? MAF快速入门(23)通过C#类定义Skills .NET 高级开发 | 手写一个对象映射框架 FastAPI数据库ORM怎么选?我肝了三个Demo后,终于不再纠结了 mysqldump 参数拾遗:在遗忘与铭记之间 C# .NET 周刊|2026年3月5期 Claude code入门 - 陈彦斌 一文学习入门 ThingsBoard 开源物联网平台 GitHub 热门项目 | 2026年04月16日 如何为GIT设置全局勾子,为每次提交追加信息 Number.isFinite和isFinite与isNaN()和Number.isNaN的区别 PortSwigger SQL注入LAB2 推荐一个测试人必备的Skills,从功能到性能全搞定(附详细实操和安装下载方式) 筑基期:掌握Odoo基础核心知识点02(Odoo XML 开发方式详解) GLM模型这么火,咱们用vllm也咧一个呗! 深入理解 AbortController:从底层原理到跨语言设计哲学 字符串学习笔记 多租户系统框架的基础模块设计和分析设计 Apache SeaTunnel Zeta 为什么能做到“又快又稳”? AI开发-python-LangGraph框架(3-26-LangGraph基本概念及第一个简单样例) Vue 3 组件通信,别只会用 Props 和 Emits 了,这几个狠活儿你得看看 ElasticSearch7.X版本配置密码 用Manim实现动态交点计算--从一个动点问题说起 团结引擎+Addressable+Instant Game打包抖音小游戏 function call 实战:让 LLM 自动判断 pod 异常、调用日志工具并完成故障分析 bubseek —— 让 Agent 的足迹,变成团队的洞察 通过 C# 读取并导出 PDF 书签 如何用 GitHub Actions 实现 Steam 自动化发布 【从0到1构建一个ClaudeAgent】并发-后台任务 .NET 高级开发 | 定制 ASP.NET Core 框架 电子小白:什么是运算放大器(运放) zero2Agent:面向大厂面试的 Agent 工程教程,从概念到生产的完整学习路线 堆上的ORW HC32F460 USB CDC通信异常:非对齐访问异常排查 20260413-Hyperbridge 攻击事件:发生在默克尔山上的验证绕过 那些喊着AI 要淘汰你的人,正在靠你的焦虑赚大钱! 深度学习进阶(八)Swin Transformer 最小二乘问题详解19:带先验约束的增量式SFM优化与实现 SnapTranslate 3.0 正式发布:全局划词翻译 + 完整英语学习闭环,一站式搞定查词、记词、复习 工作的意义、工作的困难认知再思考 .NET + AI 进阶实战:基于类的技能开发 - 打造可治理的 Agent 能力模块 【从0到1构建一个ClaudeAgent】规划与协调-技能 上周热点回顾(4.6-4.12) 电子小白的工具三件套:面包板、杜邦线、万能板 单表五亿数据的查询优化 | Mysql、StarRocks 2. WorkBuddy:从“我是谁”到“帮我干活” C# 如何减少代码运行时间:7 个实战技巧 基于HelixToolkit.SharpDX 渲染3D模型 - 笺上知微 从零开始的双臂具身VLA起源及现阶段发展综述 - SkyXZ 记对 xonsh shell 的使用, 脚本编写, 迁移及调优 - pluvium27 受够了Vibe Coding的失控?换个起点,让AI事半功倍 从开始配置漏洞环境到漏洞复现流程 - 難しい 关于10年工作经验的程序员对OpenClaw的实战经验分享以及看法 - 虚无境 Any metadata 的内存布局 C# .NET 周刊|2026年3月2期 - InCerry 我帮你测过了,测试圈排名第二的 Skill 依然很牛逼 Skill Discovery | 无监督技能发现的经典工作总结 - MoonOut 上下文工程是什么?过时了么?一文讲明白! - 一枫说码 开了 TUN 模式还是直连?90% 的人都踩过这个坑 AScript扩展多种脚本语言 - rockey627 AI 学习笔记:Agent 的记忆机制 你能被装进一个文件里吗?——7 万人把同事"蒸馏"成了 AI - 我没有三颗心脏 Claude Code 通关手册(七):给 AI 装上技能包——Skills 完全指南 - 暮色之狐 在浏览器中快速编辑代码:VSCode Web 集成实践 - Newbe36524 蒸馏自己 skill?基于 Deepseek 的蒸馏器,丐版蒸馏方式,简单便捷 - To_Carpe_Diem Spring AI Aliababa和AgentScope,哪个更好? - 苏三说技术
为什么做了 DevOps,你还是管不好开源依赖?
lunzi_fly · 2026-05-10 · via 博客园_首页

为什么做了 DevOps,你还是管不好开源依赖?

上一篇提到,很多企业在漏洞爆发时,甚至不知道自己系统里用了什么。

很多人会觉得:"我们已经做了 DevOps,CI/CD 跑得很溜,应该没问题了吧?"

但有个问题我问过很多人:"你们的安全扫描结果,有人看吗?"

对方沉默了一会儿,说:"好像……没人看。"

这个对话,我经历过太多次了。


先说清楚:DevOps 很重要

我不是来否定 DevOps 的。

过去十年,DevOps 彻底改变了软件交付的方式。代码提交到部署全自动化,环境一致性用容器解决,发布频率从"一个月一次"变成"一天好几次"。

DevOps 很擅长解决"交付效率"问题。流水线会关心:

  • 代码能不能编译通过?
  • 单测有没有跑通?
  • 镜像能不能成功发布?
  • 服务部署后稳不稳定?

这些它都能自动化。

但有一个问题,它天然不关心:你交付的镜像里,到底有什么组件?

流水线不会问你:

  • 这个镜像里的基础镜像有没有漏洞?
  • 应用依赖的某个库,作者是不是已经跑路了?
  • 这些组件的 License 合不合规,会不会要求你开源整个项目?

DevOps 解决的是"怎么快",不管"交付了什么"。


DevOps 不管的,恰恰是最危险的

我见过太多企业,CI/CD 跑得很溜,但安全团队问一句"你们系统里用了哪些开源组件",没人答得上来。

为什么?

因为 DevOps 流水线里,根本没有"软件成分管理"这个环节。

你引入了一个新组件,流水线会帮你构建、测试、部署,但不会问你:

  • 这个组件有没有已知漏洞?
  • License 合不合规?会不会要求你开源代码?
  • 上游还在维护吗?有没有被投毒的风险?

这些问题,DevOps 不回答。


我见过的三个典型错觉

错觉一:CI/CD 里加了扫描工具,就安全了

这个错觉最普遍。

很多企业的做法是:在流水线里加一个安全扫描步骤,每次构建自动扫描,发现问题就报警。听起来很完美对吧?

现实是什么?

我见过一个客户,每次构建扫描出来 200 多个漏洞。开发团队看了一眼,觉得"太多了,根本处理不过来",然后做了什么?把通知关了。

工具还在跑,但没人看结果。形同虚设。

开发本来就忙,扫描结果又多又杂,你让他去分辨哪些是真漏洞、哪些是误报?他只会做一件事:忽略全部。

工具 ≠ 方案。没有流程设计的扫描,只会制造噪音。


错觉二:用了 Docker 镜像,就安全了

容器化确实解决了很多问题,但也带来了新的盲区。

我见过一个真实案例:某企业用 node:14 作为基础镜像,跑了半年都没事。后来安全扫描发现镜像里有个 OpenSSL 高危漏洞,不得不临时停服修复,业务损失不小。

问题在哪?

  • 基础镜像本身可能包含漏洞组件
  • 镜像里的依赖版本是打包时的快照,不会自动更新
  • 你以为"镜像安全"等于"应用安全",其实是两回事

容器只是把问题打包了,没有解决问题。


错觉三:有包管理工具,就够了

"我们用 npm / Maven / go mod,依赖都记在 package.json / pom.xml / go.mod 里,有什么问题?"

问题是:这些文件只记录了直接依赖

间接依赖呢?依赖的依赖呢?

一个典型的 Node.js 应用可能包含 几百个间接依赖,它们被你的直接依赖带进来,你根本不知道它们的存在。而这些间接依赖,往往是漏洞的重灾区。

更关键的是,包管理工具不会告诉你:

  • 这个组件的 License 是什么?
  • 有没有合规风险?
  • 上游还在维护吗?

你知道自己安装了什么包,但不知道这些包最终把哪些东西带进了系统。


这些问题的共同点

如果把这三个错觉抽象一下,会发现一个共同点:

DevOps 很擅长提高交付效率,但它天然不负责软件成分治理

你的 CI/CD 可以做到一天发布十次,但如果没人知道这十次发布引入了什么组件、有什么风险,你的系统依然是失控的。


一个最尴尬的坑

说一个我亲身经历过的场景。

某银行项目接受合规审计,审计人员问了一个问题:"你们怎么保证第三方组件的安全?有没有清单?"

开发团队面面相觑。CI/CD 跑了好几年,代码也一直在迭代,但从来没有人系统地记录过"用了哪些组件、什么版本、有没有风险"。

最后怎么办?临时抱佛脚,几个人花了三天时间手动整理了一份清单。还不一定全。

合规不是"做了就行",是要"能证明你做了"。


所以,问题出在哪?

回到开头那个问题:为什么做了 DevOps,开源依赖还是管不好?

答案很简单:DevOps 给了你"效率",没给你"控制力"。

上一篇我说过,开源治理至少需要三层能力:

  • 第一层:可见性——你知道系统里用了什么、有什么风险
  • 第二层:控制力——你能管住团队怎么用、出了事怎么处理
  • 第三层:决策能力——你知道该不该用、用哪个、什么时候换

SBOM 解决的是第一层。但光有可见性不够,你还需要控制力

什么是控制力?就是一套流程,让开源组件的引入、使用、退出都有规矩可循。

这个,DevOps 没给你。你得自己建。


下篇预告

很多人以为 SBOM 就是"列个清单",其实没那么简单。不同的生成方式,准确性、覆盖范围、适用场景都不一样。选错了方式,可能比没有 SBOM 还糟糕。

因为很多企业的问题,从来不是"发现不了漏洞",而是:

根本不知道,自己的系统里到底有什么。

下一篇,我们来聊聊SBOM 。