云原生安全新纪元：CNCF与Kusari合作推动AI驱动的软件供应链安全

> ### 摘要 > 云原生计算基金会（CNCF）与安全技术公司Kusari正式达成合作，共同强化云原生项目软件供应链的安全防护能力。根据协议，所有CNCF托管项目将可免费接入Kusari提供的基于AI的安全工具，实现对依赖项、构建流程及部署环节的智能风险识别与实时响应。此举标志着云原生生态在应对日益复杂的供应链攻击方面迈出关键一步，也为全球开发者提供了更可信、更透明的安全基础设施支持。 > ### 关键词 > 云原生安全,AI安全工具,软件供应链,CNCF合作,Kusari ## 一、合作背景与意义 ### 1.1 云原生生态安全挑战日益严峻 在容器化、微服务与持续交付成为主流的今天，云原生技术正以前所未有的速度重塑全球软件开发范式。然而，高度动态、多源依赖、快速迭代的特性，也让软件供应链成为攻击者最青睐的突破口——一次被污染的开源依赖、一个未经验证的镜像、一段隐蔽的构建时注入代码，都可能引发连锁性安全失陷。CNCF托管项目覆盖数千个活跃开源组件，其下游影响辐射数百万开发者与企业系统，安全风险已不再局限于单点漏洞，而是演变为贯穿开发、构建、分发、运行全生命周期的系统性挑战。当“信任”成为最稀缺的资源，构建可验证、可追溯、可干预的安全基线，已非选择题，而是生存必需。 ### 1.2 CNCF与Kusari的战略愿景 云原生计算基金会（CNCF）与安全技术公司Kusari正式达成合作，致力于提升云原生项目软件供应链的安全。此次合作将使CNCF托管的项目能够免费使用Kusari提供的基于AI的安全工具，以增强云原生项目的安全性能。这不是一次简单的工具集成，而是一次生态级承诺：CNCF以中立治理者的身份，将前沿安全能力下沉至每一个托管项目；Kusari则以技术践行者的姿态，将AI驱动的风险感知能力转化为普惠性基础设施。双方共同锚定一个清晰目标——让安全不再是少数团队的高门槛投入，而成为每个云原生项目与生俱来的“默认属性”。这份合作背后，是开放协作精神与主动防御理念的深度共振，更是对“可信云原生”这一集体愿景最务实的托举。 ### 1.3 AI技术在安全领域的应用前景 AI安全工具的价值，正在于它突破了传统规则引擎与人工审计的响应边界。面对海量、异构、高频更新的依赖关系图谱与构建日志，人类专家难以实时覆盖，而基于AI的安全工具可实现毫秒级模式识别、异常行为聚类与潜在供应链投毒路径推演。Kusari所提供的AI安全工具，正是以此为内核，在不增加开发者负担的前提下，悄然嵌入CI/CD流水线，将安全判断从“事后补救”前移至“事中干预”甚至“事前预警”。当AI不再仅用于生成内容，而是成为守护代码源头的“数字守门人”，我们看到的不仅是一项技术落地，更是一种新安全范式的萌芽——它不替代人的判断，却极大延展人的洞察；不承诺绝对无瑕，却持续抬升整体生态的韧性阈值。 ## 二、合作细节与实施计划 ### 2.1 Kusari AI安全工具的功能与特点 Kusari提供的基于AI的安全工具，专为云原生软件供应链的复杂性而设计。它不依赖静态规则库的被动匹配，而是以动态行为建模与上下文感知为核心，深入解析依赖引入、构建环境配置、镜像层构成及部署拓扑等关键环节。该工具可自动识别异常依赖来源、隐蔽的构建时代码注入、签名缺失或篡改的制品，以及跨项目传播的风险模式——所有判断均基于实时学习的开源生态行为基线，而非孤立漏洞编号。尤为关键的是，其AI引擎被深度集成于主流CI/CD流水线中，无需开发者手动介入扫描或解读冗长报告，安全反馈以轻量、可操作的方式嵌入开发工作流：一次提交、一次构建、一次部署，即是一次无声却坚定的验证。这不是在代码之外加装一道门禁，而是让安全逻辑自然生长于云原生项目的每一次呼吸之间。 ### 2.2 免费使用政策的具体内容 根据合作约定，所有CNCF托管项目将可免费接入Kusari提供的基于AI的安全工具。该政策覆盖全部当前及未来新增的CNCF托管项目，无项目规模、活跃度或所属组织类型的限制；亦不设使用时长、调用频次或功能模块的分级门槛。这意味着，从单人维护的孵化阶段项目，到拥有数百名贡献者的毕业级项目，均可平等地获得同等能力的安全支持。免费并非临时试用，而是CNCF与Kusari共同承诺的长期基础设施服务——它不附加商业许可条款，不收集项目源码内容，不干预项目治理决策，仅以最小必要数据支撑风险识别，真正践行“安全普惠”的初心。 ### 2.3 项目实施时间表与预期成果 资料中未提及项目实施时间表与预期成果的相关信息。 ## 三、总结 云原生计算基金会（CNCF）与Kusari达成合作，致力于提升云原生项目软件供应链的安全。此次合作将使CNCF托管的项目能够免费使用Kusari提供的基于AI的安全工具，以增强云原生项目的安全性能。该合作聚焦于将前沿AI安全能力普惠化嵌入开源生态，覆盖依赖管理、构建过程与部署环节的风险识别与响应，推动安全从“可选附加”转向“默认内建”。通过中立治理与技术落地的协同，双方共同强化了云原生基础设施的信任基线，为全球开发者提供更透明、更可持续的安全支持。关键词：云原生安全,AI安全工具,软件供应链,CNCF合作,Kusari。