第 4 期：基于资产画像的治理闭环：从基础镜像到 CICD 的源头治理方法论

引言大多数企业仍然停留在“补漏洞”的层面，但真正成熟的企业，安全治理不是从漏洞开始，而是从源头机制开始。这期我会讲一个你能直接在公司落地的“源头治理闭环体系”。 云原生安全的治理，必须左移（ShiftLeft），移到源头去。 二、源头治理=不让漏洞流入生产，而不是到了生产再救火真正的治理不是：漏洞扫描→安全催修→开发修补→回归→发布而是：镜像基线→基础镜像治理→依赖链治理→CI/CD阶段截断风险→生产侧验证核心思想：“业务不应该部署带风险的镜像 •第4期（本期）：提出一套完整的治理闭环，从基础镜像到CI/CD，实现源头治理的方法论。•第5期（待发布）：展望未来，讲解AI×云原生安全，即如何用大模型打造企业级的“风险决策引擎”，实现智能防火。 我们不贩卖焦虑，不追逐泛泛的热点，致力于：将安全团队从“报警中心”升级为“风险决策中心”。提供可落地的方法论，实现从救火到防火的战略转变。

治理诈骗源头，腾讯安全做了这些事

旨在用科技为公民信息安全提供全方位保护，协助司法机关打击网络黑产及其它犯罪，从源头治理电信网络诈骗。并且通过立体化的宣传，强化公民网络安全意识，降低公民遭遇网络安全威胁的风险。 腾讯充分结合安全大数据、核心技术和海量用户的优势，联合社会各界力量，对网络黑产及犯罪重拳出击，形成全方位的防护体系，保障网民的合法权益。 面对日益严峻的网络诈骗威胁，腾讯守护者计划整合腾讯的黑灰产大数据优势和AI能力，推出“守护者智能反诈中枢”。 守护者智能反诈中枢系统中，有一套关于企业数据防护的架构设计。 为了从源头防范企业数据和用户隐私泄露造成的诈骗风险，腾讯安全联合守护者智能反诈中枢，输出给企业云管端一体化的协同防御安全解决方案，包括面向数据流生命周期的数据安全综合治理中心、基于安全大数据的威胁情报与积极防御体系 、零信任无边界办公安全体系等，无论是黑客入侵还是内鬼泄密，智能反诈中枢都能帮助保护企业数据资产，阻断黑灰产对于企业信息数据的窃取，从源头上阻断诈骗团队的信息来源。

40页PPT | 数据治理方法论和案例

2020国家网安周：从源头抓好网络安全风险治理

、网络诈骗等主要网络安全风险的发展趋势与治理难点，并提出要从源头上对网络安全风险进行系统治理。 源头、系统治理是解决网络安全风险的破题关键 早在今年1月，中央政法工作会议曾提出对新型网络安全风险的防控治理，是2020年国家治理工作的重中之重。 然而，在当前具体的治理进程中，对网络安全风险的治理仍以传统的、打击单个环节的方式进行，难以撼动整个黑灰色产业链的生态，并不能起到显著效果。 这说明了从源头进行系统性的治理才是解决网络安全风险的破题关键。 与会嘉宾一致认为，建立政企协作、行业联动的合作机制，形成多方共治、联防联控的治理模式才是根本的解决之道。 未来，只有多方治理、联防联控，从源头进行系统性治理才能应对不断变化的网络安全风险。

数据仓库&数据指标&数据治理体系搭建方法论

用分析模型搭建指标体系 在《精益数据分析》一书中给出了两套比较常用的指标体系建设方法论，其中一个就是比较有名的海盗指标法，也就是我们经常听到的AARRR海盗模型。 工具设计流程 (方法论->定义->生产->消费) ? 指标定义 ? 对于主数据的治理笔者认为是一个后台行为，治理核心是“唯一数据源、统一数据标准”，而要达到这一目标是需要从数据的源头抓起的，并且需要大量的人为干预，比如：数据标准的制定和落实，数据质量的清洗，数据的申请审批 在笔者看来，在数据源头加强企业数据的治理，让常态化治理成为日常业务，才能从根本上彻底解决企业数据质量的各种问题，让数据真正转化为企业资产，以实现数据驱动流程优化、数据驱动业务创新、数据驱动管理决策的目标 在数据“由乱到治”的治理过程中，我们不仅实现了存量数据的“由乱到治”，并且在此过程中沉淀出了一系列的建模方法论、工具，并建立了相应的安全小组和指标运营组织。

数据治理方法论和实践小百科全书

从范围来讲，数据治理涵盖了从前端业务系统、后端业务数据库再到业务终端的数据分析，从源头到终端再回到源头，形成的一个闭环负反馈系统。从目的来讲，数据治理就是要对数据的获取、处理和使用进行监督管理。 数据治理实施方法论 近年来，推动数据治理体系建设一直是业界探索的热点。 结合数据治理项目实际落地实施过程以四大能力构建、PDCA 实施指导思想提出了“PAI”实施方法论，即流程化（process-oriented）、自动化（automation）、智能化（intelligence 我们的实践是在元数据和数据资源清单之间建立关联关系，且业务团队使用的数据项由元数据组合配置而来，这样，就建立了数据使用场景与数据源头之间的血缘关系。 安全治理 安全治理主要加强了敏感数据的安全治理和数据共享环节的安全治理。

数据仓库&数据指标&数据治理体系搭建方法论

用分析模型搭建指标体系 在《精益数据分析》一书中给出了两套比较常用的指标体系建设方法论，其中一个就是比较有名的海盗指标法，也就是我们经常听到的AARRR海盗模型。 工具设计流程 (方法论->定义->生产->消费) 指标定义 指标生产 这部分整体介绍了指标体系建设方法论和工具产品的建设情况，目前指标字典和开发工具已实现流程打通，与数据消费产品的打通后续会通过 对于主数据的治理笔者认为是一个后台行为，治理核心是“唯一数据源、统一数据标准”，而要达到这一目标是需要从数据的源头抓起的，并且需要大量的人为干预，比如：数据标准的制定和落实，数据质量的清洗，数据的申请审批 在笔者看来，在数据源头加强企业数据的治理，让常态化治理成为日常业务，才能从根本上彻底解决企业数据质量的各种问题，让数据真正转化为企业资产，以实现数据驱动流程优化、数据驱动业务创新、数据驱动管理决策的目标 在数据“由乱到治”的治理过程中，我们不仅实现了存量数据的“由乱到治”，并且在此过程中沉淀出了一系列的建模方法论、工具，并建立了相应的安全小组和指标运营组织。

安全的真正职责不是扫描，而是风险决策

真正的安全价值，不在于检测的技术深度，而在于风险决策的能力。为此，我们将推出系列连载《从救火到防火：LLM时代的云原生风险源头治理实战》。 本系列将从战略视角出发，结合AI技术，为您提供一套可落地的云原生风险治理闭环方法论，帮助您将安全团队的角色从“报警中心”升级为“风险治理的决策中心”。 •第4期：提出一套完整的治理闭环，从基础镜像到CI/CD，实现源头治理的方法论。•第5期：展望未来，讲解AI×云原生安全，即如何用大模型打造企业级的“风险决策引擎”，实现智能防火。 ☐源头治理关键是否在DevOps阶段左移安全能力？☐防火核心是否能使用AI自动辅助风险判断？ --春根实战AI云原生安全简介我是深耕云安全领域十余年的资深架构师/产品专家，专注于LLM时代下的风险源头治理实战。

第 3 期：四维风险决策模型：如何比同行更快锁定“真正有危险的漏洞”

下期我们将目光移向左边，探讨《基于资产画像的治理闭环：从基础镜像到CI/CD的源头治理方法论》。不仅要看，更要练：转发本文给你的安全团队，问问他们：我们现在的优先级排对了吗？ 第3期（本期）：深入剖析四维风险决策模型，掌握如何比同行更快锁定“真正有危险的漏洞”。第4期（待发布）：提出一套完整的治理闭环，从基础镜像到CI/CD，实现源头治理的方法论。 春根实战AI云原生安全简介我是深耕云安全领域十余年的资深架构师/产品专家，专注于LLM时代下的风险源头治理实战。本号的内容专为CTO、CISO、安全架构师等核心决策者而写。 我们不贩卖焦虑，不追逐泛泛的热点，致力于：将安全团队从“报警中心”升级为“风险决策中心”。提供可落地的方法论，实现从救火到防火的战略转变。 如果您正在寻求高价值、去噪音的专业交流，对云原生安全治理的顶层设计感兴趣，欢迎关注本号。

《学习的方法论》

考试升学则是学生的重要目标，在此要求之下，学生必须掌握所赋予的知识。 而在竞争的环境中，学会如何学习的学生更容易脱颖而出。且学习能力的培养，是对后续生活也有很大帮助。 信息与知识，知道与实践 信息是数据的组合排列，比如微博上每日最新的资讯，朋友圈不断更新的动态。 知识是大脑对信息的组合与整理，对别人而言的知识，对自己可能只是信息。 人类的感知是一条意识流，“我”是意识流当下的感受，在此刻“我”知道运动的好处，我想去运动；而过后的某天，“我”不再是当时的我，在不同时刻的“我”感受是不同的，此刻的“我”并不愿为之前的“我”买单。 我的学习方法论 关于学习方法论，我常用的基本规律是：学习、思考、总结、分享/实践、回顾。 这是我毕业之后摸索出来，比较适合我的学习方法。 我不再妄图通过学习“更好”的学习方法，逃避学习过程带来的痛苦，寻找前进的捷径。 最重要的是，我正在按照这个方法不断地学习新的知识。

数据要素资产化破局：知名化工央企数据基座与中台落地实录

缺乏系统性治理经验： 面对庞杂的数据资产，企业普遍缺乏成熟的方法论支撑，在数字化转型初期面临“不知从何下手”的战略迷茫。 数据中台功能架构搭建（腾讯云主导） 将治理咨询成果植入数字化平台，依托腾讯内部海量大数据开发经验，实现统一的存储、治理与开发： 核心开发治理套件： 采用 WeData 实现数据的集成、开发、治理、建模及服务资产化 统一数据汇聚源头，驱动业务指标显性化 通过推进该化工央企的“三大基础工程”与“六大精品工程”，项目在短期内快速凸显了治理成效，并为长期业务决策提供了量化支撑： 统一源头，彻底消除多向分发混乱： 摒弃了过往数据多源录入的混乱模式 其服务不仅停留在规划层，更能切入企业运行痛点，以专业方法论重构L1至L5级业务流程，提供涵盖IDC枢纽规划、IT投入有效性评价及PMO实施监理在内的“务实”咨询。 高确定性的底层技术底座： 腾讯云通过输出成熟的大数据组件（TBDS/TCHouse）与敏捷的开发治理套件，确保了复杂的咨询逻辑能够无缝转化为稳定、安全的系统级代码与数据流，保障了企业级规模数据集的高效吞吐与实时运算

企业数据大厦的基础-源头数据

源头数据.jpg 源头数据是企业数据大厦的基础 2.1.1 企业数据源头 源头数据即是直接从终端采集的数据。 在企业数据中，源头数据有两大类，一类是描述企业资源的静态数据，一类是描述资源活动的动态数据，这两类数据关联在一起，形成了相互联系在一起的企业大数据的源头数据。 而企业大数据只有基层的源头数据也是不行的，源头数据的量非常大，高层“日理万机”也不可能事无巨细地看那么多数据，因此，数据在向上汇报的时候，必须经过加工处理。 我们知道，大厦的地基是源头数据，而采集源头数据又是基层工作者的职责，企业信息系统中的原始数据是否准确与基层的工作分不开，如果他们对源头数据质量不负责任，那么源头数据就不会准确，任何的向上传输都变得毫无意义 全文摘自《企业数据化管理变革-数据治理与统筹方案》赵兴峰著 该文转载已取得作者认可 版权说明：版权所有归明悦数据所有,如需转载请联系我们，我们将在第一时间处理，或请注明内容出处（《企业数据化管理变革》赵兴峰著

Node.js 的 api 设计的源头：POSIX

因为不同操作系统如果提供的函数和系统调用不一样，那么基于操作系统的上层应用程序的源代码就不一样，这就导致了一个平台写的代码没法在另一个平台上编译。 怎么办呢？ 如果每个操作系统提供的 api 一样呢？ 不管操作系统底层怎么实现这些能力的，只要暴露出同样的 api 给应用程序即可，这样源代码是跨平台的，在不同的操作系统上编译之后就能跑起来。 这个统一操作系统暴露的 api 的标准就是 POSIX。 js 的运行时，基于 v8 来注入很多提供操作系统能力的 api 给 js 调用，而这些 api 的设计很多都是直接用的 POSIX 标准的 api 名字，没有做很多抽象。 Java 的 JRE（java runtime） 也提供了操作系统能力的抽象，但是那些 api 却和操作系统 POSIX 的 api 关系不大，而且融入了很多设计模式的东西，比如 io 流的装饰器模式。 所以学习 Node.js 的时候还是要学习下 linux 命令的，这两者在设计上有一定的关系。

从源头打造安全的产品，保障数据安全

本文选自《数据安全架构设计与实战》一书，介绍从源头保障产品和数据安全的5A方法。 无论是进行产品的安全架构设计或评估，还是规划安全技术体系架构的时候，有这样几个需要重点关注的逻辑模块，可以在逻辑上视为安全架构的核心元素。 由此，安全架构5A可用下图来表示： 以身份为中心的安全架构5A 安全架构的5A方法论将贯穿全书，成为安全架构设计（无论是产品的架构设计，还是安全技术体系的架构设计）、风险评估等安全工作的思维方式（ ---- 在这几个核心元素中，用户访问资产的主线为： 用户访问资产的主线 访问控制的依据是授权，查询授权表或者基于设定的权限规则，拥有访问权限才允许继续访问。 小结一下，5A，是五个以A开头的单词的简写，是《数据安全架构设计与实战》一书提出的从源头保障一款产品（一般指互联网产品或服务）数据安全的方法。

【源头活水】Graph上的预训练模型

“问渠那得清如许，为有源头活水来”，通过前沿领域知识的学习，从其他研究领域得到启发，对研究问题的本质有更清晰的认识和理解，是自我提高的不竭源泉。 为此，我们特别精选论文阅读笔记，开辟“源头活水”专栏，帮助你广泛而深入的阅读科研文献，敬请关注。 1.2 任务不同 当然，粗略的看，NLP的两大任务和graph上的任务有一些共通之处，但是Graph上的任务花样还是要多一点的。 在这么一类的图中，由于一张图本身的规模特别大，所以其实图的数量就很少——只有一个。并且，在这么一张图中，绝大多数的节点都是没有标签的，只有少量的节点有标签。 与之带来的转变就是，图的数量也开始增多，因此，一些对图的理解也变成了任务之一。 ? 这篇论文所侧重的也是预训练任务的设计。其讲故事的思路是这个样子的：对于图上的任务，主要包括节点层面和图层面两种。

微服务治理-云原生下的IT治理和传统SOA治理方法融合

今天我准备再谈下微服务治理方面的内容，在前面我写过一篇微服务治理框架重构的文章，里面给出了一个完整的覆盖微服务全生命周期管理和后期治理管控的框架体系。今天的重点则是对里面的一些内容进行细化说明。 微服务治理框架 对于微服务治理在前面已经谈到了实际上包括了微服务模块本身和微服务API接口治理两个方面的内容，而不能简单理解为API接口的治理。 因此微服务治理应该进一步融入IT治理和SOA治理两个部分的内容。 ，业务，技术，过程支撑的规范体系 工具类：基于上面治理要求，选择可行的技术平台或工具进行支撑 以上就是一个微服务治理本书应该包括的全面内容。 而个人一直以来的一个重要观点就是微服务开发框架和微服务治理应该彻底解耦，在开发阶段不应该过多地去考虑治理能力，或者说为了治理能力增加相应的开发工作。

Oracle嘉年华：SQL审核的源头管控

在刚刚结束的Oracle技术嘉年华大会上，"SQL审核"这个概念被屡次提及，成为一个重要的核心关键词。云和恩墨的技术专家罗海雄和去哪儿网的技术专家王竹峰分别做了相关的主题分享。 SQL审核的提出，是基于数据库的性能优化实践和屡见不鲜的“抢险救灾”，经过总结大家发现，80%的数据库性能问题来自SQL，而事后的SQL优化和救火已经不能满足今天业务快速发展和高可用连续性的需求。 在云和恩墨的技术专家罗海雄的主题中，不约而同的阐述了SQL审核的重要意义。 在今天互联网化的开发现状之下，快速更新迭代、产品周期缩短，这些都可能带来不稳定的因素。 ? 这个产品可以通过内置的算法引擎，可定制的抓取数据库中执行的SQL及其详细数据，通过过滤分析，进行量化的积分趋势展现，并将SQL问题高亮显示，指导程序员的优化分析，并可以通过内置的工作流由DBA进行优化， 通过会后的听众热议和交流，我们看到，提前预防性的运维和管理已经引起了大家的广泛重视，而工欲善其事，必先利其器，通过好的工具提升工作效率是大家的共同关注所在。

数据治理不是部门战！用一张数据责任图，让财务部和生产部抢着管数据

“生产部说数据是系统自动采集的，不归他们管；财务部说数据对不上账是源头没校准，双方吵了三个月，最后连集团战略会上的经营分析报告都卡壳了。” 某央企数据治理负责人李总至今对两年前的场景记忆犹新。 在传统模式下，数据从产生到使用的全流程往往缺乏明确的责任划分：生产部认为 “数据是系统生成的，技术部该管”，财务部觉得 “数据是业务部门产生的，他们才是源头”，技术部则强调 “我们只负责系统维护，数据内容不归我们 正如DAMA国际数据管理协会对数据治理的定义：“数据治理是对数据资产的管理活动行使权力和控制的活动集合”。 责任方）：数据产生的源头部门（如生产部负责 “设备运行时长”“能耗指标”；采购部负责 “原材料单价”），需确保数据采集的准确性、及时性；使用方：依赖该数据开展业务的部门（如财务部需要 “设备运行时长” 作为深度参与《数据资产管理实践白皮书》编撰的企业，亿信华辰通过输出标准化方法论与工具，为更多企业提供了从 “责任界定” 到 “价值落地” 的全链路支撑。

能从源头解决数据分析的瑕疵吗

下面的内容会涉及到： 学习cellranger的定量流程 从零开始在自己的服务器安装软件 下载测序数据 走流程 cellranger的定量流程详解： 正常走cellranger的定量流程即可，代码我已经是多次分享了 fastq文件的对应关系 10X单细胞转录组测序数据的 SRA转fastq踩坑那些事 10x的单细胞转录组fastq文件的R1和R2不能弄混哦 差不多几个小时就可以完成全部的样品的cellranger的定量流程 cellranger的定量流程首先需要合理的文件名字 上面下载的全部的测序的fq文件名字是srr开头的，我们样品名字是gsm开头的， 两码事，需要有对应关系！ ，表示显示详细的解压过程 f代表file，表示后面跟的是要解压的文件名 -C代表change to directory，表示解压后的文件将被放到后面指定的目录 请将file.tar.gz替换为你的文件名 难道不应该是直接放弃这批样品 如果这个新鲜出炉（ 2023年12月5日）的cell期刊的文章，需要靠这样的质量堪忧的单细胞转录组数据，那么它里面的生物学结论真的是值得信赖吗？

如何从源头打造极速优化的MES系统

MES管理的产品流程的数量 C． MES每流程上数据采集节点的站点数 D． 每站点数内部的数据采集内容 E． 第站点上的数据采集的时间频率 F． 合理的表以及逻辑关系的设计； 2. 数据库的日常维护工作； 3. 数据库大数据量表的数据压缩； 4. 数据库大数据量表的分区表方法； 5. 历史数据的定期迁移； 6. 避免在一个大的SQL中采用一次性连接多个表的查询 (特别是大表对大表的关联，是非常不明智的)，应拆分为基于PK的多步来执行查询。 C. 当数据库服务层的优化进达到一个相当高的水准之后，企业的还需要考虑后续的一些优化过程，比如大数据的定期归档，提升网络以及服务器本身的IOPS性能等等，进行深度的负载均衡的设计，在这方面，不同的MES厂商水平参差不齐 只有从源头加以及分析与优化，才能让你的MES系统“健步如飞”。