DevOps 面试题大全(九·下):DevSecOps 高级威胁与合规性 25 题
前言
DevSecOps 面试题下篇(26-50 题),涵盖高级威胁防护、故障排查、最佳实践、合规性等企业级安全内容。
三、高级威胁防护题(26-35 题)
26. 容器逃逸防护
- 禁用 privileged 容器
- 限制 capabilities
- 使用 seccomp 配置文件
- AppArmor/SELinux 强制访问控制
- 运行时监控(Falco)
27. 供应链攻击防护
- 镜像签名(Notary/Cosign)
- SBOM 软件物料清单
- 依赖锁定(lock files)
- 私有仓库代理
- CI/CD 管道安全
28. 镜像签名验证
# Cosign 签名 cosign sign --key cosign.key myapp:latest # 验证签名 cosign verify --key cosign.pub myapp:latest # Kubernetes 集成(Sigstore) admission controller 验证签名
29. 运行时安全监控
- Falco - 行为检测
- Sysdig - 系统调用监控
- Aqua Security - 企业平台
- Tetragon - eBPF 基础
30. Falco 规则示例
- rule: Shell Spawned in Container
desc: Detect shell process in container
condition: >
container and
spawned_process and
proc.name in (bash, sh, zsh)
output: "Shell spawned in container"
priority: WARNING
tags: [shell, container]
31. 秘密信息检测
- Git Secrets - Git 钩子
- Detect-secrets - Yelp 开发
- Gitleaks - Git 扫描
- TruffleHog - 历史扫描
32. 零信任架构
- 身份验证所有请求
- 最小权限访问
- 微隔离网络
- 持续验证
- 加密所有通信
33. Service Mesh 安全
- mTLS 服务间认证
- 细粒度授权策略
- 流量加密
- 证书自动轮换
34. 多云安全策略
- 统一身份管理
- 集中式日志审计
- 跨云网络策略
- 一致的安全基线
35. 威胁建模方法
- STRIDE - 微软方法
- DREAD - 风险评估
- PASTA - 七步流程
- Attack Trees - 攻击树
四、故障排查题(36-42 题)
36. 权限拒绝问题
- 检查 RBAC 配置
- 验证 ServiceAccount
- 查看审计日志
- 测试最小权限
37. 证书过期处理
- 监控证书有效期
- 自动续期(cert-manager)
- 紧急手动更新
- 测试续期流程
38. 网络隔离问题
- 检查 NetworkPolicy
- 验证 DNS 解析
- 测试连通性
- 查看 CNI 插件日志
39. 镜像拉取失败
- 验证 ImagePullSecrets
- 检查仓库凭据
- 测试网络访问
- 查看镜像名称
40. 安全扫描误报
- 验证漏洞是否存在
- 更新扫描规则
- 添加忽略规则
- 升级到修复版本
41. 审计日志丢失
- 检查日志后端
- 验证存储配额
- 查看收集器状态
- 测试告警通知
42. 合规性检查失败
- 识别不合规项
- 制定修复计划
- 自动化修复脚本
- 持续监控
五、最佳实践题(43-47 题)
43. 安全 CI/CD 管道
- 代码提交 → SAST 扫描
- 依赖检查 → SCA 分析
- 构建 → 镜像扫描
- 部署 → 配置检查
- 运行 → 运行时监控
44. 密钥管理策略
- 绝不硬编码
- 使用 Vault 集中管理
- 定期轮换
- 最小权限访问
- 审计使用情况
45. 镜像安全基线
- 官方基础镜像
- 最小化安装
- 非 root 用户
- 定期更新
- 签名验证
46. 事件响应流程
- 检测 - 监控告警
- 分析 - 确定范围
- 遏制 - 隔离影响
- 消除 - 修复漏洞
- 恢复 - 恢复正常
- 总结 - 经验教训
47. 安全意识培训
- 定期安全培训
- 钓鱼演练
- 安全编码规范
- 事件分享会
六、合规性题(48-50 题)
48. GDPR 合规要求
- 数据最小化
- 用户同意管理
- 数据访问权
- 被遗忘权
- 数据可携带
49. PCI-DSS 支付安全
- 网络隔离
- 加密传输
- 访问控制
- 定期测试
- 监控审计
50. SOC2 审计标准
- 安全性 - 保护系统
- 可用性 - 系统可用
- 处理完整性 - 准确完整
- 保密性 - 保护机密
- 隐私性 - 个人信息
总结
安全是 DevOps 不可分割的一部分,需要将安全实践自动化并融入整个软件交付生命周期。
学习路线建议
- 容器安全基础
- Kubernetes 安全配置
- CI/CD 安全集成
- 漏洞扫描工具
- 运行时保护
- 合规性要求
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
