wiki ingest: batch 2 (+2 docs, Claude Skills & NotebookLM)

knowledgebase/DevOps & SRE/07_Security/ctp-topic-21-supply-chain-security-in-micro-focus.md

@@ -10,7 +10,7 @@ tags:
 date-added: 2026-04-14
 video-source: "nas:///volume2/work/Public Cloud Learning Sessions/CTP _ Topic 21_ Supply Chain Security in Micro Focus.mp4"
 audio-source: ""
-status: raw
+status: summarized
 ---
 
 # CTP Topic 21 Supply Chain Security in Micro Focus
@@ -25,21 +25,34 @@ status: raw
 
 ## 摘要
 
-> 待转录后由 LLM 生成
+> 本次会议由 Micro Focus 产品安全小组的 Shlomi Ben-Hur 主讲，核心议题是“微聚焦（Micro Focus）软件供应链安全的新方法”。在当前的云转型背景下，软件供应链安全已成为企业安全战略的重中之重。
+
+> 演讲首先定义了产品层面的**供应链**：它不仅包含纯粹的代码开发，还涵盖了从源码管理（SCM）、构建组件（CI）、制品库到最终交付系统（CD）的所有环节。Shlomi 指出，Micro Focus 内部存在极高的工具多样性（例如拥有 17 种不同的源码管理工具），这为建立统一的安全基准带来了巨大挑战。
+
+> 随后，视频深入探讨了为何现在必须重视供应链安全。主要驱动因素包括：1. **重大安全事件的警示**：如 SolarWinds 黑客攻击事件，黑客通过渗透构建过程注入恶意代码，导致数千家政企客户受害；2. **政策与合规要求**：美国总统发布的加强国家网络安全的行政命令；3. **业务转型需求**：Micro Focus 正在大规模向 AWS 云端和 SaaS 模式迁移，云端环境的开放性增加了安全风险。
+
+> 最后，Shlomi 提出了安全观念的根本转变：从过去 99% 关注研发安全（如代码扫描、渗透测试）转向全生命周期的安全防护。新的安全模型将供应链安全作为软件开发生命周期（SDL）的第五大支柱，强调必须同时确保 CI 过程（构建环境、自动化服务器）和 CD 过程（交付系统）的完整性，防止黑客在任何环节篡改二进制文件。
 
 ---
 
 ## 关键概念
 
--
+- **Supply Chain (Product Level)**: 指支持产品开发、构建及交付的所有组件和流程，包括开发环境、CI/CD 工具链及分发系统。
+- **SolarWinds Hack**: 一次著名的供应链攻击事件，黑客通过在软件构建阶段注入木马，利用合法更新渠道感染了大量下游客户。
+- **CI/CD Security**: 持续集成与持续交付的安全，旨在保护构建服务器、制品库和交付渠道不被未经授权的访问或篡改。
+- **SDL (Security Development Lifecycle)**: 软件安全开发生命周期，Micro Focus 将供应链安全纳入其 13 个安全轨道中的第 5 轨道。
+- **SCM (Source Code Management)**: 源码管理工具，是供应链的起点，视频提到公司内部使用了 GitHub Enterprise 等 17 种不同的 SCM 工具。
+- **Executive Order (Cybersecurity)**: 指美国政府发布的关于加强国家网络安全的行政命令，直接推动了软件行业对供应链透明度和安全性的重视。
+- **Lateral Movement**: 横向移动，指黑客在进入受害者网络后，利用获取的权限在系统内部寻找更高价值目标的过程。
 
 ---
 
-## 行动项
+## 相关视频
 
--
-
----
+> [!info]+ 交叉引用
+> [[Cloud Transformation Program Overview]] — 讨论了 Micro Focus 整体向 AWS 迁移的战略背景。
+> [[Security Development Lifecycle (SDL) Deep Dive]] — 详细介绍了视频中提到的 13 个安全轨道及 SDL 流程。
+> [[DevOps Tooling Standardization]] — 关联到视频中提到的 17 种 SCM 工具整合与标准化的挑战。
 
 ## 相关视频
 

knowledgebase/DevOps & SRE/07_Security/ctp-topic-24-micro-focus-product-privacy-framework.md

@@ -11,7 +11,7 @@ tags:
 date-added: 2026-04-14
 video-source: "nas:///volume2/work/Public Cloud Learning Sessions/CTP _ Topic 24_ Micro Focus Product Privacy Framework.mp4"
 audio-source: ""
-status: raw
+status: summarized
 ---
 
 # CTP Topic 24 Micro Focus Product Privacy Framework
@@ -26,21 +26,34 @@ status: raw
 
 ## 摘要
 
-> 待转录后由 LLM 生成
+> 本次会议由 Micro Focus 产品安全小组（PSAC）的 Shlomi Ben-Hur 主讲，重点介绍了 **Micro Focus 产品隐私框架（Product Privacy Framework）** 及其在云转型计划中的应用。该框架旨在解决法律合规要求与技术实现之间的鸿沟。
+
+> **背景与挑战**：随着 2018 年 GDPR（欧盟通用数据保护条例）和 CCPA（加州消费者隐私法案）的生效，产品团队面临严峻的合规压力。然而，法律条文通常晦涩难懂，研发人员难以将其直接转化为技术需求。为了解决这一问题，PSAC 与法律顾问合作，将复杂的法律条款翻译成了约 110 项具体的、低级别的技术要求。
+
+> **核心内容**：该隐私框架是 Micro Focus 安全开发生命周期（STLC）中 13 个安全与隐私轨道之一。它通过一个结构化的 Excel 工具，将合规要求分为五种类型：**架构类**（侧重 PII 数据流分析）、**文档类**（通过标准化模板降低研发成本）、**法律类**（提供标准法律声明）、**实现类**（涉及实际代码更改）以及 **SAS 运营类**（针对云服务运营）。
+
+> **评估与产出**：框架引入了成熟度模型（0-4 级），并通过“蜘蛛图（Spider Chart）”直观展示产品在安全去标识化、被遗忘权、数据可移植性等关键隐私指标（KPI）上的合规现状与预期目标。最终产出包括一份标准化的《产品隐私设置文档》，确保客户在消费不同产品时能获得一致的隐私信息参考。
 
 ---
 
 ## 关键概念
 
--
+- **STLC (Security Development Life Cycle)**: 安全开发生命周期，Micro Focus 产品开发的基础框架，包含 13 个安全和隐私轨道。
+- **PII (Personally Identifiable Information)**: 个人身份识别信息，指任何可以用于识别特定个人的数据，是隐私保护的核心对象。
+- **GDPR & CCPA**: 分别指欧盟《通用数据保护条例》和《加州消费者隐私法案》，是该隐私框架主要遵循的国际隐私监管标准。
+- **Spider Chart (蜘蛛图)**: 一种可视化工具，用于展示产品在不同隐私维度（如数据传输、通知、分析等）的当前成熟度与目标水平。
+- **Data Controller vs. Data Processor**: 数据控制者与数据处理者，法律术语，框架通过“法律类”要求明确 Micro Focus 与客户在数据处理中的各自责任。
+- **Product Privacy Settings Document**: 产品隐私设置文档，一种标准化的模板，用于向客户披露产品如何收集、存储和处理 PII。
+- **Anonymization & Pseudonymization**: 匿名化与去标识化，隐私框架中要求的技术手段，用于保护数据主体隐私。
 
 ---
 
-## 行动项
+## 相关视频
 
--
-
----
+> [!info]+ 交叉引用
+> [[Micro Focus Security Development Life Cycle (STLC) Overview]] — 本视频中提到的隐私框架是 STLC 整体架构中的一个重要分支。
+> [[Cloud Transformation Program Objectives]] — 隐私合规是云转型过程中的核心合规要求之一。
+> [[SaaS Operations and Compliance]] — 讨论了框架中第五类需求（SAS Operation type）在实际云运营中的落地。
 
 ## 相关视频