阿里平台工程的可信软件供应链建设实践 | QCon 北京

2025 年 4 月 10 - 12 日，QCon 全球软件开发大会将汇聚全球 140+ 技术先行者及创新实践者，直击行业痛点，解锁可复制的经验与模式。这不仅是一场会议，更是一次对技术演进的集体探索。无论你是资深开发者，还是技术管理者，都能在这里有所收获，为下一步的技术决策提供方向。

阿里巴巴技术专家王伟男已确认出席并发表题为《阿里平台工程的可信软件供应链建设实践》的主题分享。在当今的 DevOps 环境中，从源码编写、编译构建直至封装分发，软件供应链的每一步都潜藏着代码被非法篡改的风险，任何一环的脆弱性都将严重削弱我们对最终部署代码完整性和真实性的信赖基础。鉴于此背景，阿里团队采取了一系列措施，致力于实现软件供应链全生命周期的可信保障。本次演讲将通过分析软件供应链潜在的"不可信"因素，从服务投产的前、中、后三个阶段来讲解保障供应链高可信的手段，最后分享落地 SLSA 体系的实践。

王伟男 2018 年加入阿里，曾负责北京冬奥会的配座系统与抽签系统，目前专注在研发基础设施平台的建设。他在本次会议的详细演讲内容如下：

演讲提纲

1. DevOps 场景下的供应链面临哪些威胁？

• 投毒/漏洞案例

• 供应链的构成

• DevOps 下不可信的威胁

2. 如何保证依赖的供应链的高可信

• 服务投产前的高可信

• 运行时的高可信

• 投产后发现风险供应链的补救措施

3. SLSA 体系的落地

• 阿里研发平台的 SLSA 建立

• 可信软件供应链的架构

• SLSA 体系为一线研发带来了什么

4. 总结展望

您认为，这样的技术在实践过程中有哪些痛点？

• 历史上存量供应链的溯源比较困难

• 可信软件供应链建设也并非绝对可信

• 可信软件供应链等级重新评估的时机与频率

演讲亮点

• SLSA 定义过程中对构建、安全、质量等维度信息的取舍

• 与 CICD 完美结合的实战经验

听众收益

• 理解软件可信供应链建设的策略

• 在日常方案设计与实践中的决策方法，如何用因地制宜的思想去落地最适合当下的方案

除此之外，本次大会还策划了多模态大模型及应用、AI 驱动的工程生产力、面向 AI 的研发基础设施、不被 AI 取代的工程师、大模型赋能 AIOps、云成本优化、Lakehouse 架构演进、越挫越勇的大前端等专题，届时将有来自不同行业、不同领域、不同企业的 100+资深专家在 QCon 北京现场带来前沿技术洞察和一线实践经验。

目前，所有大会演讲嘉宾已结集完毕，了解更多报名和详情信息可扫码或联系票务经理 18514549229 咨询。

为确保大会顺利举行，现诚邀志愿者加入，时长 3.5 天。可与大咖交流、获极客时间 VIP 月卡、大会演讲视频资源和证书。主办方提供午餐和交通支持。时间：4 月 9 日 13:00-4 月 12 日 18:00，地点：北京万达嘉华酒店，报名链接：https://www.infoq.cn/form/?id=2088