一． 团队介绍：

绿盟科技星云实验室专注于云安全和5G安全研究，先后孵化了云安全解决方案、SOAR系统和容器安全解决方案；瞄准行业痛点，开展云原生攻击套件、云原生入侵与攻击模拟系统、云原生API安全研究；开源了云原生攻防靶场Metarget等项目，在业界和学界得到广泛应用；先后于2016年和2021年底出版《软件定义安全：SDN/NFV新型网络的安全揭秘》和《云原生安全：攻防实践与体系构建》两本云安全专业著作；在国内外高水平会议、期刊上发表或与高校团队合作发表了多篇学术论文；先后发布了多部云安全、云原生安全技术报告，受到业界广泛好评；积极参与行业标准、白皮书编写，牵头制订了CSA《云原生安全技术规范》，参与《云计算安全技术要求》、《云原生安全成熟度模型》和《云原生架构安全白皮书》等的编写工作；积极进行技术分享，在RSA、OpenInfra Asia&China、CIS、KCon，XCon等国内外高水平大会上分享安全研究；除此之外，星云实验室还在“绿盟科技研究通讯”上长期分享云安全前沿研究成果。    

星云实验室负责人刘文懋博士是清华大学博士后，高级工程师，担任云安全联盟云安全服务工作组（CSA Global）和云原生安全工作组主席（CSA GCR）、计算机学会（CCF）理事、中国网络空间安全人才教育论坛人才标准认证工作组专家、中国网络空间新兴技术安全创新论坛理事等职务。研究方向为云计算安全、物联网安全和5G安全等，关注人工智能和数据安全。专利30余项，承担多个国家、省市级重点科研（子）课题，参与云安全方向等国家和行业标准制定。担任清华大学、西安交通大学、哈尔滨工业大学和广州大学等高校的企业导师。云安全科研成果获中国电子学会科学技术奖三等奖，云安全研究成果孵化为云安全解决方案和容器安全解决方案，每年创造经济价值过亿元。在2021年RSA大会上发表主题演讲，也是中国安全厂商首次登上RSAC大会的主题演讲舞台。

二． 2022年获得的奖项及荣誉：

1. 2022 KCon黑客大会发表主题演讲：

星云实验室阮博男在2022 KCon黑客大会发表主题演讲《进退维谷：runC的阿克琉斯之踵》

2. 2022 XCon黑客大会悦享场发表主题演讲：

星云实验室陈佛忠在2022 XCon黑客大会发表主题演讲《源码泄露，一个从天而降的”锅“》

3. Github开源项目获星600stars+：

星云实验室为云原生攻防靶场Metarget项目的发起者及维护者，2022该项目累计stars突破600。

4. 2022 CSDN第7期“安全技术峰会”发表主题演讲：

星云实验室刘文懋担任2022 CSDN云原生“安全技术峰会”出品人并发表主题演讲《云安全跑步进入下半场——云原生安全》

星云实验室阮博男在2022 CSDN第7期“安全技术峰会”上发表主题演讲《攻方视角：从开源靶场看云原生安全》

5. 2022 移动云”产品评鉴会“发表主题演讲：

星云实验室陈佛忠在2022 移动云”产品评鉴会“发表主题演讲《云安全行业创新成果分享》

6. 2022 移动云”安全技术沙龙“发表主题演讲：

星云实验室陈佛忠在2022 移动云”安全技术沙龙“发表主题演讲《创新研究成果分享》

7. 2022年3月星云实验室获荣获 ”CSA安全金盾奖“

8. 2022年3月星云实验室荣获 ”CSA数字化转型安全支撑案例TOP10“

9. 2022年9月星云实验室联合新疆电信及新疆电力的5G创新方案荣获 ”5G绽放杯“ 典型案例

三． 2022研发贡献：

2022年，星云实验室输出了多项云安全及5G安全研究成果：

1. 云安全攻防研究。星云实验室持续进行前沿云安全攻防研究，相关研究成果已转化为防御检测算法、规则等赋能云原生安全产品。提出的一种针对runC的容器逃逸利用方法在KCon 2022黑客大会上进行了分享。

2.      云原生安全测试工具。星云实验室将攻防研究成果固化为针对云原生环境的渗透测试工具，其核心能力依据后渗透的攻击阶段，分为信息收集、容器逃逸、权限提升、防御绕过、持久化控制、痕迹清理六大方向，集成了主流云原生组件的漏洞测试能力，相比于已有的云原生安全测试工具，能力更丰富，效果更偏向实战，由专业团队持续维护，及时跟进前沿技术与最新漏洞。

3. 云原生BAS产品。星云实验室基于多年云原生攻防研究成果，率先研发针对云原生环境的入侵与攻击模拟系统，所采用的攻击模拟手段来自深厚研究积淀，持续验证云原生安全能力的有效性，评估云原生环境安全度。

4. 云原生API安全解决方案。该方案基于星云实验室多年来在云原生安全上的积累，构建了面向云原生应用和API的安全防护体系，包括：微服务API资产发现、微服务API业务安全、微服务API安全网关等多个功能组成部分。

5. 云上风险发现服务。星云实验室基于绿盟科技内部网空测绘引擎，对云上公有云服务、云原生服务、云上应用和云上协议进行测绘，实现对云上资产、服务及脆弱性识别分析，并输出多篇云上服务风险测绘报告。实现自动化检测引擎对测绘数据进行持续化运营分析，真正做到优先于攻击者“摸清家底”。

6. 私有源代码仓库核查服务。基于网络空间测绘及云上风险的研究，星云实验室于2022年6月29日推出了行业首个针对于私有源代码仓库暴露核查的服务，相关研究思路、发现及成果也在XCon 2022黑客大会上进行了演讲。截至此材料上报前，该研究已发现了我国近4w个暴露在公网上的私有源代码仓库（其中数千个暴露的源代码仓库涉及我国关基单位），且已帮助数百个国家关基单位下线处理了与其相关的暴露在公网上的源代码仓库。该研究成果被我国多家网信办认可，目前该服务也已被多家网信办采购。

7. 5G核心网安全评估工具。星云实验室从5G核心网基础设施和网元服务两个角度出发，对数十种威胁场景进行自动化评估，帮助发现5G核心网中存在的安全隐患，保障5GC的安全性。

没有网络安全就没有国家安全。星云实验室将持续深耕云安全领域，发布先进研究成果、孵化创新安全产品，为网络强国建设目标奋发努力。