https://socake.github.io/categories/%E5%AE%89%E5%85%A8/Recent content in 安全 on 黄文卓 | DevOps EngineerHugo -- gohugo.iozh-CN17691281867@163.com (Wenzhuo Huang)17691281867@163.com (Wenzhuo Huang)© 2026 Wenzhuo HuangThu, 02 Apr 2026 10:00:00 +0800https://socake.github.io/posts/tetragon-runtime-security/Thu, 02 Apr 2026 10:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/tetragon-runtime-security/Kubernetes 运行时安全是传统 EDR 难以覆盖的盲区。Tetragon 用 eBPF 在内核态采集进程、网络、文件和系统调用事件，并能在内核就地阻断攻击动作。本文从架构原理出发，讲解 TracingPolicy 语法、典型攻击检测（反弹 shell、提权、敏感文件访问）、阻断机制、性能开销，以及它与 Falco 的差异。https://socake.github.io/posts/secret-rotation-automation/Fri, 14 Nov 2025 10:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/secret-rotation-automation/一份来自生产环境的密钥轮换实战笔记：对比 Vault dynamic secret、AWS Secrets Manager 原生 rotation、SOPS + GitOps 三种方案的适用场景，给出数据库、Kafka SASL、TLS 证书、API key 的完整轮换工作流，并分享 ESO 同步、rotation 风暴、灰度发布等真实踩坑。https://socake.github.io/posts/falco-runtime-security-deep/Fri, 03 Oct 2025 09:30:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/falco-runtime-security-deep/一份来自生产环境的 Falco 实战笔记：从 eBPF 驱动选型、规则开发方法论、误报治理，到与 Falcosidekick、Loki、SIEM 的告警联动，覆盖 0.40/0.41/0.42 三个版本的关键变更与真实踩坑案例。https://socake.github.io/posts/trivy-cosign-supply-chain/Sat, 06 Sep 2025 13:50:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/trivy-cosign-supply-chain/你的镜像安全吗？本文梳理容器供应链的主要攻击面，手把手演示 Trivy 扫描、Cosign 签名、K8s 准入控制三层防护的搭建过程，并给出 GitLab CI 集成示例。https://socake.github.io/posts/vault-external-secrets/Thu, 20 Feb 2025 10:20:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/vault-external-secrets/base64 不是加密。本文从 Secret 泄露风险说起，完整介绍 Vault 核心概念、K8s 部署方式、ESO 集成配置，以及动态数据库凭证的自动轮换实践。