Salesforce 社交电商容器化改造，

成功落地安全可信软件供应链

客户简介

Salesforce 是一家提供云计算服务的软件公司， 专门从事客户关系管理。 Salesforce 与阿里云联合发布了针对我国市场的软件“Salesforce 社交电商”。

客户痛点

在进行容器化交付改造的过程中， 需要解决云原生场景下的软件供应链风险挑战， 主要包括环境复杂化、多样化等问题。

三方及开源组件带来的安全隐患 ： 企业软件项目越来越依赖于来自供应商、 三方或开源社区的组件。这些组件常以基础镜像的方式在软件供应链中传递。攻击者可能利用组件中存在的漏洞， 植入恶意代码或控制第三方机器环境， 进行从加密货币挖矿、 发送垃圾邮件， 到通过大型僵尸网络发起 DDoS 攻击等恶意行为。

软件交付长链路带来的风险 ： 软件供应链的周期链路长，在各个环节中均可能存在安全风险，包括软件漏洞、软件后门、恶意篡改、知识产权风险和信息泄露等。

容器化运行可能引入更多攻击面 ： 容器应用部署依赖 Linux 内核特性，很多黑客攻击者利用内核系统漏洞，从容器运行时组件和容器应用部署配置等多个维度发起针对性的逃逸或者入侵攻击。

方案亮点

为了帮助客户更便捷地实现软件供应链安全，阿里云容器服务团队提供了端到端的解决方案 ：

容器应用交付阶段， ACR EE 可提供云原生应用交付链能力 ： ACR EE 融合访问控制、 镜像构建、内容安全、二进制认证、全球化分发等能力，支持预置风险拦截策略，实现发现即阻止、安全控制左移。

容器应用运行阶段， ACK 保障容器应用一致性安全 ： ACK 集成云安全中心提供了容器运行时安全监控和告警能力，覆盖 ATT&CK 杀伤链的 200 余项安全检测模型，提升整体业务负载运行环境安全性。基于 ISV 应用运行场景， ACK 也提供了安全沙箱容器作为运行时解决方案， 确保更好的安全隔离能力和更高的稳定性。

安全运营阶段， ACK+ACR 实现全局风险感知 ： 客户可通过 ACR 自动同步、自动扫描、自动加签功能和 ACK 自动验签、 自动策略实施， 以及风险识别后自动阻断后续流程功能， 实现容器化DevSecOps 自动化流程。通过订阅 ACR、ACK、云安全中心的风险事件，实现镜像内容、镜像交付、容器部署、容器运行时全流程安全的风险感知，可以更及时高效地处理安全风险。

建设成果

2022 年 6 月， “阿里云助力 Salesforce 软件供应链安全落地实践” 成功获评“2022 安全守卫者计划优秀案例”， 通过使用基于 ACR EE+ACK 的云原生 DevSecOps 能力， Salesforce 安全软件供应链实现万次镜像扫描、 千次风险镜像拦截阻断， 千次加签 / 验签安全交付 ； 基于全自动化软件供应链安全流程，应用安全交付效率提升 3 倍。

相关产品

1 容器服务 ACK

2 容器镜像服务 ACR