安全 on 黄文卓 | DevOps Engineer https://socake.github.io/categories/%E5%AE%89%E5%85%A8/ Recent content in 安全 on 黄文卓 | DevOps Engineer Hugo -- gohugo.io zh-CN 17691281867@163.com (Wenzhuo Huang) 17691281867@163.com (Wenzhuo Huang) © 2026 Wenzhuo Huang Thu, 02 Apr 2026 10:00:00 +0800 Tetragon eBPF 运行时安全实战:进程/网络/文件策略、与 Falco 的对比 https://socake.github.io/posts/tetragon-runtime-security/ Thu, 02 Apr 2026 10:00:00 +0800 17691281867@163.com (Wenzhuo Huang) https://socake.github.io/posts/tetragon-runtime-security/ Kubernetes 运行时安全是传统 EDR 难以覆盖的盲区。Tetragon 用 eBPF 在内核态采集进程、网络、文件和系统调用事件,并能在内核就地阻断攻击动作。本文从架构原理出发,讲解 TracingPolicy 语法、典型攻击检测(反弹 shell、提权、敏感文件访问)、阻断机制、性能开销,以及它与 Falco 的差异。 密钥自动轮换实战:Vault、AWS Secrets Manager 与 SOPS 的工程化方案 https://socake.github.io/posts/secret-rotation-automation/ Fri, 14 Nov 2025 10:00:00 +0800 17691281867@163.com (Wenzhuo Huang) https://socake.github.io/posts/secret-rotation-automation/ 一份来自生产环境的密钥轮换实战笔记:对比 Vault dynamic secret、AWS Secrets Manager 原生 rotation、SOPS + GitOps 三种方案的适用场景,给出数据库、Kafka SASL、TLS 证书、API key 的完整轮换工作流,并分享 ESO 同步、rotation 风暴、灰度发布等真实踩坑。 Falco 运行时安全实战:从规则开发到生产级调优 https://socake.github.io/posts/falco-runtime-security-deep/ Fri, 03 Oct 2025 09:30:00 +0800 17691281867@163.com (Wenzhuo Huang) https://socake.github.io/posts/falco-runtime-security-deep/ 一份来自生产环境的 Falco 实战笔记:从 eBPF 驱动选型、规则开发方法论、误报治理,到与 Falcosidekick、Loki、SIEM 的告警联动,覆盖 0.40/0.41/0.42 三个版本的关键变更与真实踩坑案例。 供应链安全:Trivy 镜像扫描 + Cosign 签名验证实践 https://socake.github.io/posts/trivy-cosign-supply-chain/ Sat, 06 Sep 2025 13:50:00 +0800 17691281867@163.com (Wenzhuo Huang) https://socake.github.io/posts/trivy-cosign-supply-chain/ 你的镜像安全吗?本文梳理容器供应链的主要攻击面,手把手演示 Trivy 扫描、Cosign 签名、K8s 准入控制三层防护的搭建过程,并给出 GitLab CI 集成示例。 Secret 管理实战:HashiCorp Vault + External Secrets Operator https://socake.github.io/posts/vault-external-secrets/ Thu, 20 Feb 2025 10:20:00 +0800 17691281867@163.com (Wenzhuo Huang) https://socake.github.io/posts/vault-external-secrets/ base64 不是加密。本文从 Secret 泄露风险说起,完整介绍 Vault 核心概念、K8s 部署方式、ESO 集成配置,以及动态数据库凭证的自动轮换实践。