目前，該項目已經(jīng)實現(xiàn)了主題框架，通過了OBS編譯構(gòu)建和集成測試。與普通的巡檢工具相比，該項目的特點是可以在預設的劇本中調(diào)用內(nèi)核中的ebpf埋點獲取數(shù)據(jù)，并把結(jié)果及劇本直接傳向下一個操作結(jié)點繼續(xù)執(zhí)行，免去將結(jié)果回傳給任務發(fā)起結(jié)點的過程，從而提高執(zhí)行和分布式運算的效率。

傳統(tǒng)ACL配置復雜且不直觀，一個報文最終是ACCEPT還是DROP需要查看完全部chain規(guī)則才能知曉。而CTinspector大大簡化了ACL的復雜實現(xiàn)方式，特別是范圍比較、掩碼匹配等特殊處理，徹底改變了ACL逐條規(guī)則匹配的方式，當一個報文匹配多條規(guī)則時性能將得到大幅提升。

CTinspector的服務端框架分為內(nèi)核函數(shù)、加載器、編譯器、路由器、轉(zhuǎn)發(fā)器、調(diào)度器、執(zhí)行器、內(nèi)存映射幾大模塊。當外部任務下發(fā)時，劇本內(nèi)容、上下文環(huán)境、運算結(jié)果等會被全部封裝在packet VM中，從而可以實現(xiàn)非交互式鏈式傳播，大大提高執(zhí)行和結(jié)果運算的效率。

當前，CTinspector框架已被封裝成RPM包發(fā)布，方便安裝與版本迭代。用戶可以根據(jù)模板自主書寫多劇本，然后在CTinspector的統(tǒng)一架構(gòu)下進行編譯，生成ebpf可執(zhí)行程序。用戶使用該框架可以將ACL流表快速一體化封裝進執(zhí)行劇本，自定義控制動作及觸發(fā)條件，定制多結(jié)點的巡檢工具、高性能運維工具。

cve-ease，提高系統(tǒng)安全管理水平

CVE（Common Vulnerabilities and Exposures）的全稱是公共漏洞和暴露，用于標準化識別已知的系統(tǒng)漏洞和缺陷，旨在幫助用戶在眾多獨立的漏洞數(shù)據(jù)庫和漏洞評估工具中共享系統(tǒng)漏洞數(shù)據(jù)，提高系統(tǒng)安全管理水平。雖然CVE對系統(tǒng)安全具有重要意義，但由于目前用戶側(cè)缺乏CVE相關管理平臺和工具，使得CVE信息難以在系統(tǒng)安全中有效發(fā)揮其關鍵作用。

2023年，天翼云基礎架構(gòu)事業(yè)部原創(chuàng)的另一款新項目cve-ease在內(nèi)部開始持續(xù)孵化運作。cve-ease 平臺旨在幫助用戶快速了解和應對系統(tǒng)中存在的漏洞，提高系統(tǒng)安全性和穩(wěn)定性。通過cve-ease平臺，用戶可以查看CVE信息的詳細內(nèi)容，包括漏洞描述、影響范圍、修復建議等，并根據(jù)自己的系統(tǒng)情況選擇合適的修復方案。

目前，cve-ease 已經(jīng)在歐拉社區(qū)開放源碼，社區(qū)用戶可以加入項目開發(fā)，共同打造安全、穩(wěn)定、可靠的國產(chǎn)操作系統(tǒng)生態(tài)。

作為一款專注于CVE信息的平臺，cve-ease的架構(gòu)主要由四個模塊組成，分別是CVE爬蟲、CVE分析器、CVE通知器和CVE前端。

1.CVE爬蟲

該模塊負責從openEuler社區(qū)提供的各個CVE數(shù)據(jù)源抓取CVE信息，并將其存儲到MySQL等關系型數(shù)據(jù)庫中。這些關鍵信息主要來源于cve-manager項目。目前，cve-manager支持從NVD、CNNVD、CNVD、RedHat、Ubuntu、Debian等數(shù)據(jù)源獲取CVE信息。

2.CVE分析器
該模塊對CVE信息進行解析、歸類、評分等。cve-ease使用Python編寫了一個分析器腳本，它會定期從關系型數(shù)據(jù)庫中讀取原始CVE信息，并進行以下操作：解析CVE信息的基本屬性（如編號、標題、描述等）、歸類CVE信息的影響范圍（如操作系統(tǒng)、軟件包等）、評分CVE信息的危害程度（如CVSS評分等）、匹配CVE信息的修復建議（如補丁鏈接等）。分析器腳本會將處理后的結(jié)構(gòu)化CVE信息以SQL格式持久化到數(shù)據(jù)庫中，以便后續(xù)查詢和展示。

3.CVE通知器

該模塊根據(jù)用戶的訂閱配置，通過郵件、微信、釘釘?shù)确绞较蛴脩舭l(fā)送CVE通知。cve-ease使用Python編寫了一個通知器腳本，定期從MySQL數(shù)據(jù)庫中讀取結(jié)構(gòu)化CVE信息，并進行以下操作：過濾出用戶關注的影響范圍（如操作系統(tǒng)、軟件包等）、生成適合不同渠道的通知內(nèi)容（如文本、圖片等）、調(diào)用不同渠道的API發(fā)送通知給用戶（如SMTP協(xié)議發(fā)送郵件、HTTP協(xié)議發(fā)送微信或釘釘消息等）。通知器腳本會記錄發(fā)送結(jié)果和反饋情況，并更新MySQL數(shù)據(jù)庫中的訂閱狀態(tài)。

4.CVE前端

該模塊提供一個友好的cli終端命令，讓用戶可以查看、搜索、訂閱CVE信息。cve-ease的架構(gòu)設計，可通過打造高效、靈活、可擴展的CVE信息平臺，為用戶提供及時準確的安全漏洞情報服務。

截至目前， cve-ease項目共計輸出CVE排查文檔超5000個，應對安全掃描報告上百次，累計覆蓋的CVE問題數(shù)量近2萬個。相較于之前的解決方案， cve-ease感知能力從7天降低至15分鐘，基于ease研發(fā)的一整套CVE處理方案可實現(xiàn)80%以上的自動化效果，提升處理效率的同時大大降低人力成本。實踐證明，cve-ease能夠及時、高效、可靠地應對漏洞安全問題，為自研系統(tǒng)提供了創(chuàng)新的漏洞安全解決方案，為企業(yè)的信息化建設和數(shù)字化轉(zhuǎn)型增添了新的動力和價值。

面向未來，天翼云將與歐拉開源社區(qū)在現(xiàn)有合作基礎上，圍繞DPU卸載、全棧云原生、DPU操作系統(tǒng)、容器化操作系統(tǒng)等方面持續(xù)開展聯(lián)合創(chuàng)新，貢獻更多自研項目，以自主可控的天翼云數(shù)字底座，支撐更多開發(fā)者創(chuàng)新，服務千行百業(yè)數(shù)字化轉(zhuǎn)型。

xiesc