KubeCon + CloudNativeCon | Open Source Summit 2019 中国论坛

大约 10 年前，RISC-V ISA 规范的制定工作开始。大约一年前，我们看到第一个硬件的出现，而且从今年开始，该硬件的价格变得更加便宜。伴随着这一发展，第一批产品和第一个漏洞也在出现。

本次演讲将简要介绍英特尔在 ARM 平台上的开发，之后介绍在 RISC-V 平台上开发的架构差别，以及展示已经采用 RISC-V 支持、由此可用于创建和调试这些代码或漏洞的工具。

互联网的 TLS 流量增长迅速，网络网关现在对加快 TLS 中的加密操作提出了越来越高的要求。OpenSSL 被业内广泛部署为事实的 SSL/TLS 实施。最新的 OpenSSL 设计并实施了一个异步加速框架，该框架由一个新的异步库、增强 TLS 堆栈和引擎组成。在本次演讲中，我们将回顾在利用和增强此框架来实现 Nginx 和 Fd.io/VPP 的高性能和低 CPU 利用率加速 TLS 引擎方面的实践经验。我们将分享如何解决企业级部署面临的挑战，如 CPU/内存消耗、用户私钥保护，并最终展示最近为更高效且高性能的内核旁路异步通信机制所做的增强，该机制现已合并到 OpenSSL 3.0.0 主分支。

作为世界上最大的银行之一，我们在汇丰技术部门运行了几年的 DevOps 计划，以在团队之间建立 DevOps 文化和思维。自 2018 年起，我们开始实施 DevSecOps 计划，将网络安全融入 DevOps 文化。我们的目标是通过推广 DevSecOps 工具并结合相关培训，转变开发团队的网络安全思维。

在本演讲中，我们将分享如何将 DevSecOps 工具（如 CheckMarx、Contrast 和 Sonatype Iq）集成到开发 CICD 管道中，以生成漏洞仪表板

此外，我们还将演示三种提供网络安全培训的不同方法，帮助开发团队逐渐增长知识，从而修复 DevSecOps 工具报告的漏洞，并随着时间的推移建立全新的思维

谷歌在 2018 年发布了 gVisor，这是一种全新的沙盒，支持安全隔离容器，其所使用的资源显著低于完整虚拟机 (VM)。

gVisor 的核心是一个使用 Go 编写的开源用户空间内核，实施了 Linux 系统表面的很大一部分。
它包括名为 runsc 的开放容器计划 (OCI) 运行时，提供应用程序和主机内核之间的隔离边界。
runsc 运行时与 Docker 和 Kubernetes 集成，使运行沙盒容器变得非常简单。

现在，我们已在 Arm64 平台上启用了 gVisor。在本演讲中，我们将介绍并展示我们取得的进展。
此外，我们将在 Arm64 平台 (ptrace & kvm) 上演示 gVisor。

当开源项目能够接受伟大的想法，并且开发人员能够扩展代码以“解决其问题”时，它们就会蓬勃发展。 另一方面，开发安全关键的应用程序需要严格的过程，以确保它们不会在关键时刻出错，因此接受变更有很高的门槛。 Linux 和 Zephyr 都致力于通过不同的方法获得安全认证。 Zephyr 是专为因 Linux 太大而无法安装或需要较长电池寿命的设备设计的。 本次演讲将总结 Zephyr 的现状，以及项目的规划，即在 2019 年通过功能安全认证，通过继续处理可能存在的安全问题。 与此相比，Elisa 项目以及 Elisa 团队正致力于开发新的流程和工具，以帮助 Linux 获得功能安全应用程序的认证。