add ci

yzewei · yzewei · commit bf4b0e7d8b88 · 2025-10-10T10:33:57.000+08:00
Signed-off-by: yzewei &lt;yangzewei@loongson.cn&gt;
diff --git a/.github/workflows/pages-build-deployment.yml b/.github/workflows/pages-build-deployment.yml
@@ -0,0 +1,32 @@
+name: 自定义 Pages 构建
+
+on:
+  push:
+    branches:
+      - main
+
+jobs:
+  build-and-deploy:
+    runs-on: ubuntu-latest
+    steps:
+      - uses: actions/checkout@v3
+      - uses: actions/setup-node@v3
+        with:
+          node-version: '18'
+
+      - name: 安装依赖
+        run: npm install
+
+      - name: 自动更新文章索引
+        run: bash posts/update_index.sh
+
+      - name: 构建 Hexo
+        run: npx hexo clean && npx hexo generate
+
+      - uses: actions/configure-pages@v3
+      - uses: actions/upload-pages-artifact@v1
+        with:
+          path: ./public
+
+      - uses: actions/deploy-pages@v1
+
diff --git a/posts/index.md b/posts/index.md
@@ -1,64 +1,29 @@
-# 容器安全增强工具
-
-### ​**​一、容器安心概念​**​
-
-1. ​**​定义​**
-
-   ​容器安全指保护容器化应用的整个生命周期（构建、分发、运行）免受漏洞、配置错误和恶意攻击的威胁，涵盖容器镜像、运行时环境、编排系统及供应链安全。
-2. **选型考虑​**​
-   * ​能否排查**​镜像风险​**​：包含漏洞的基镜像、敏感信息硬编码
-   * ​是否可以**​隔离漏洞​**​：容器逃逸（如CVE-2019-5736）、共享内核攻击面
-   * ​是否可以**​检测编排工具风险​**​：Kubernetes配置错误（如过度权限）
-   * ​能否应对**​供应链攻击​**​：恶意第三方依赖（参考SolarWinds事件）
-
-***
-
-### ​**​二、容器安全工具分类​**​
-
-​
-
-1. **类别​**​
-
-![](assets/sNmVqKgX0o4PkTm1bOh7-CiUFs_slR7v_-3FfvrSSzs=.png)
-
-​
-
-1. 镜像扫描工具介绍
-
-由于docker自带的scan给你是10次使用/月，这里主要介绍trivy，该工具在阿里云镜像仓库也有使用。**​**​
-
-​**​工具名称​**​：Trivy
-
-* ​**​类型​**​：镜像扫描
-* ​**​核心功能​**​：
-  * 检测OS包+语言依赖漏洞（CVE/NVD数据库）
-  * 支持CI/CD集成（Jenkins/GitHub Actions）
-  * 输出SARIF/JSON格式报告
-* ​**​使用场命**​`t`
-  ```
-  trivy image --severity CRITICAL myapp:latest
-  ```
-  ![](assets/gcN-sPUO3jQqmjlujY59WFpwnWvpOT3H6YveGYwwe5Y=.png)
-
-####
-
-1. 运行时防护工具介绍
-
-falco作为CNCF孵化项目，支持 Kernel Module、eBPF Probe和用户空间检测 3 种方式，目前la架构已经支持了kernel module。
-
-
-
-1. **​编排层​**​：NetworkPolicy限制Pod通信、RBAC最小权限
-2. **​合规标准​**​：NIST SP 800-190、CIS Docker/K8s基准
-
-   Cosign容器签名 cosign sign --key cosign.key myapp:latest
-
-#### ​四、**&#x20;附录​**​
-
-* ​**​术语表​**​：CVE、SBOM、零信任
-* ​**​资源链接​**​：
-  * [CIS Benchmark下载](https://www.cisecurity.org/benchmark/)
-  * [CNCF安全白皮书](https://github.com/cncf/tag-security)
-
-
-
+---
+title: 所有文章索引
+date: 2025-10-10 10:30:41
+---
+
+# 所有文章索引
+
+- [固件bios升降级](./固件bios升降级.md)
+- [buildx-qemu-user + cross-gdb 调试记录](./buildx-qemu-user%20+%20cross-gdb%20调试记录.md)
+- [container-security-tools](./container-security-tools.md)
+- [docker-container驱动构建镜像失败分析 ](./docker-container驱动构建镜像失败分析%20.md)
+- [Docker ps 高延迟问题分析](./Docker%20ps%20高延迟问题分析.md)
+- [docker seccomp配置文件运行机制](./docker%20seccomp配置文件运行机制.md)
+- [git大文件管理方法](./git大文件管理方法.md)
+- [glibc 2.28增加LARCH_FLOAT_ABI后ldd报错](./glibc%202.28增加LARCH_FLOAT_ABI后ldd报错.md)
+- [Harbor__Docker-compose启动失败分析](./Harbor__Docker-compose启动失败分析.md)
+- [k8s单节点部署](./k8s单节点部署.md)
+- [k8s多节点部署](./k8s多节点部署.md)
+- [k8s 集群管理工具使用](./k8s%20集群管理工具使用.md)
+- [k8s集群 内部业务部署策略](./k8s集群%20内部业务部署策略.md)
+- [kTransformer推理框架调研报告](./kTransformer推理框架调研报告.md)
+- [kubernetes 应用实例（以gohttpfilerserver为例）](./kubernetes%20应用实例（以gohttpfilerserver为例）.md)
+- [kylin v10系统 编译qt 5.15.17及使用](./kylin%20v10系统%20编译qt%205.15.17及使用.md)
+- [libLOL兼容方案](./libLOL兼容方案.md)
+- [LoongArch Kubernetes 集群部署与 MetalLB Speaker 端口问题排查](./LoongArch%20Kubernetes%20集群部署与%20MetalLB%20Speaker%20端口问题排查.md)
+- [Prometheus 在 LoongArch K8s 集群上部署权限问题排查与解决](./Prometheus%20在%20LoongArch%20K8s%20集群上部署权限问题排查与解决.md)
+- [prometheus_grafana监控环境搭建](./prometheus_grafana监控环境搭建.md)
+- [prometheus-oom](./prometheus-oom.md)
+- [README](./README.md)
diff --git a/posts/update_index.sh b/posts/update_index.sh
@@ -0,0 +1,20 @@
+#!/bin/bash
+# 自动生成 posts/index.md 索引页
+# 使用说明：cd ~/yzewei.github.io/posts && ./update_index.sh
+
+INDEX_FILE="index.md"
+
+# 写入 front-matter 和标题
+echo -e "---\ntitle: 所有文章索引\ndate: $(date '+%Y-%m-%d %H:%M:%S')\n---\n\n# 所有文章索引\n" > "$INDEX_FILE"
+
+# 遍历所有 md 文件（排除 index.md 本身）
+for f in *.md; do
+    [[ "$f" == "$INDEX_FILE" ]] && continue
+    title=$(basename "$f" .md)
+    # 替换空格为 %20（网页链接安全）
+    link=$(echo "$f" | sed 's/ /%20/g')
+    echo "- [$title](./$link)" >> "$INDEX_FILE"
+done
+
+echo "✅ 已更新索引：$INDEX_FILE"
+
diff --git a/posts/固件bios升降级.md b/posts/固件bios升降级.md
@@ -32,15 +32,15 @@ tags: [bios, 固件]
 
 &#x20;       a. 安全设置 --> 更新固件，然后选择U盘中已经拷贝好的固件：
 
-![](/assets/4pQhzoVgOw5rD4gbS2wlOjBBjQ4GMDDNNA6va6tS43k=.png)
+![](assets/4pQhzoVgOw5rD4gbS2wlOjBBjQ4GMDDNNA6va6tS43k=.png)
 
 &#x20;      选择后等待更新完成即可。
 
 （3）确认固件是否更新
 
-![](/assets/ielzz7cmowVty2yOYnjVgipMq0TbKFixFBmO669jS4s=.png)
+![](assets/ielzz7cmowVty2yOYnjVgipMq0TbKFixFBmO669jS4s=.png)
 
-![](/assets/6TTkudfqwNx5BHiSuMf9D4pa7DPuhRk5zwRkeJy810o=.png)
+![](assets/6TTkudfqwNx5BHiSuMf9D4pa7DPuhRk5zwRkeJy810o=.png)
 
 &#x20;       此时，可以看到固件即为我们刚刚烧写的固件。
 
@@ -56,7 +56,7 @@ d. 使用"spi -u <固件文件>" 命令来更新固件
 
 e. 输入reset命令重启机器
 
-![](/assets/ZIHZCWXaEAc70NM6mkpPX0fWc_yfBfFUy7rNRMHjIRY=.png)
+![](assets/ZIHZCWXaEAc70NM6mkpPX0fWc_yfBfFUy7rNRMHjIRY=.png)
 
 # 5. 使用软件烧写固件
 
@@ -70,33 +70,33 @@ e. 输入reset命令重启机器
 
 &#x20;   注意下图中标价的圆圈的方向，防止后面回插错误：
 
-![](/assets/MRXUqoIjtuKuQ9EtjXn9_Y7Rzxyv66TWBJVgg1j5U-4=.png)
+![](assets/MRXUqoIjtuKuQ9EtjXn9_Y7Rzxyv66TWBJVgg1j5U-4=.png)
 
 &#x20;   2）烧写
 
 &#x20;   a. 找到对应的芯片后，将其轻取下来，然后放到卡槽上，根据下面的标记放置芯片，不要放反：
 
-![](/assets/l7ucTqmmWZQz1hLoP753jJTB3kP4R63oZwkZiJ1sMB4=.png)
+![](assets/l7ucTqmmWZQz1hLoP753jJTB3kP4R63oZwkZiJ1sMB4=.png)
 
 b. 识别固件芯片
 
 此时便可以在软件上进行操作：
 
-![](/assets/1DvDSvh4NlN8aRyHKrZOX1OMdleJ5L4gCVog9zmuVnY=.png)
+![](assets/1DvDSvh4NlN8aRyHKrZOX1OMdleJ5L4gCVog9zmuVnY=.png)
 
 选择对应的芯片型号（**这里的型号并不是固件的实际型号，只要型号的类型与机器上固件擦除和烧写的命令一致即可**）：
 
-![](/assets/dYQNWvuQlx1kiSjCo0VarGzc8ZxfdDfybdFO-oCPahY=.png)
+![](assets/dYQNWvuQlx1kiSjCo0VarGzc8ZxfdDfybdFO-oCPahY=.png)
 
 c. 加载要烧写的固件文件
 
-![](/assets/nNgTnK55lCI5bN83wjDpRI7LqFM8Ez0TF6o-bZaGq_A=.png)
+![](assets/nNgTnK55lCI5bN83wjDpRI7LqFM8Ez0TF6o-bZaGq_A=.png)
 
 d. 开始烧写
 
 选择自动，此时可以看到烧写的过程：擦除 --> 编程 --> 校验
 
-![](/assets/cEh_q2JaeMeb1ZbSNYoCegtojHrCIAkLrxkkFp1Eo0U=.png)
+![](assets/cEh_q2JaeMeb1ZbSNYoCegtojHrCIAkLrxkkFp1Eo0U=.png)
 
 3）插回机箱，启动机器
 
diff --git a/posts/容器安全工具调研 b/posts/容器安全工具调研
@@ -0,0 +1,64 @@
+# 容器安全增强工具
+
+### ​**​一、容器安心概念​**​
+
+1. ​**​定义​**
+
+   ​容器安全指保护容器化应用的整个生命周期（构建、分发、运行）免受漏洞、配置错误和恶意攻击的威胁，涵盖容器镜像、运行时环境、编排系统及供应链安全。
+2. **选型考虑​**​
+   * ​能否排查**​镜像风险​**​：包含漏洞的基镜像、敏感信息硬编码
+   * ​是否可以**​隔离漏洞​**​：容器逃逸（如CVE-2019-5736）、共享内核攻击面
+   * ​是否可以**​检测编排工具风险​**​：Kubernetes配置错误（如过度权限）
+   * ​能否应对**​供应链攻击​**​：恶意第三方依赖（参考SolarWinds事件）
+
+***
+
+### ​**​二、容器安全工具分类​**​
+
+​
+
+1. **类别​**​
+
+![](assets/sNmVqKgX0o4PkTm1bOh7-CiUFs_slR7v_-3FfvrSSzs=.png)
+
+​
+
+1. 镜像扫描工具介绍
+
+由于docker自带的scan给你是10次使用/月，这里主要介绍trivy，该工具在阿里云镜像仓库也有使用。**​**​
+
+​**​工具名称​**​：Trivy
+
+* ​**​类型​**​：镜像扫描
+* ​**​核心功能​**​：
+  * 检测OS包+语言依赖漏洞（CVE/NVD数据库）
+  * 支持CI/CD集成（Jenkins/GitHub Actions）
+  * 输出SARIF/JSON格式报告
+* ​**​使用场命**​`t`
+  ```
+  trivy image --severity CRITICAL myapp:latest
+  ```
+  ![](assets/gcN-sPUO3jQqmjlujY59WFpwnWvpOT3H6YveGYwwe5Y=.png)
+
+####
+
+1. 运行时防护工具介绍
+
+falco作为CNCF孵化项目，支持 Kernel Module、eBPF Probe和用户空间检测 3 种方式，目前la架构已经支持了kernel module。
+
+
+
+1. **​编排层​**​：NetworkPolicy限制Pod通信、RBAC最小权限
+2. **​合规标准​**​：NIST SP 800-190、CIS Docker/K8s基准
+
+   Cosign容器签名 cosign sign --key cosign.key myapp:latest
+
+#### ​四、**&#x20;附录​**​
+
+* ​**​术语表​**​：CVE、SBOM、零信任
+* ​**​资源链接​**​：
+  * [CIS Benchmark下载](https://www.cisecurity.org/benchmark/)
+  * [CNCF安全白皮书](https://github.com/cncf/tag-security)
+
+
+

-Original file line number
+Diff line change
@@ @@ -1,64 +1,29 @@ @@
 -# 容器安全增强工具
+-
 -### **一、容器安心概念**
+-
 -1. **定义**
+-
 -   容器安全指保护容器化应用的整个生命周期（构建、分发、运行）免受漏洞、配置错误和恶意攻击的威胁，涵盖容器镜像、运行时环境、编排系统及供应链安全。
 -2. **选型考虑**
 -   * 能否排查**镜像风险**：包含漏洞的基镜像、敏感信息硬编码
 -   * 是否可以**隔离漏洞**：容器逃逸（如CVE-2019-5736）、共享内核攻击面
 -   * 是否可以**检测编排工具风险**：Kubernetes配置错误（如过度权限）
 -   * 能否应对**供应链攻击**：恶意第三方依赖（参考SolarWinds事件）
+-
 -***
+-
 -### **二、容器安全工具分类**
+-
+-
+-
 -1. **类别**
+-
 -![](assets/sNmVqKgX0o4PkTm1bOh7-CiUFs_slR7v_-3FfvrSSzs=.png)
+-
+-
+-
 -1. 镜像扫描工具介绍
+-
 -由于docker自带的scan给你是10次使用/月，这里主要介绍trivy，该工具在阿里云镜像仓库也有使用。****
+-
 -**工具名称**：Trivy
+-
 -* **类型**：镜像扫描
 -* **核心功能**：
 -  * 检测OS包+语言依赖漏洞（CVE/NVD数据库）
 -  * 支持CI/CD集成（Jenkins/GitHub Actions）
 -  * 输出SARIF/JSON格式报告
 -* **使用场命**`t`
 -  ```
 -  trivy image --severity CRITICAL myapp:latest
 -  ```
 -  ![](assets/gcN-sPUO3jQqmjlujY59WFpwnWvpOT3H6YveGYwwe5Y=.png)
+-
 -####
+-
 -1. 运行时防护工具介绍
+-
 -falco作为CNCF孵化项目，支持 Kernel Module、eBPF Probe和用户空间检测 3 种方式，目前la架构已经支持了kernel module。
+-
+-
+-
 -1. **编排层**：NetworkPolicy限制Pod通信、RBAC最小权限
 -2. **合规标准**：NIST SP 800-190、CIS Docker/K8s基准
+-
 -   Cosign容器签名 cosign sign --key cosign.key myapp:latest
+-
 -#### 四、**&#x20;附录**
+-
 -* **术语表**：CVE、SBOM、零信任
 -* **资源链接**：
 -  * [CIS Benchmark下载](https://www.cisecurity.org/benchmark/)
 -  * [CNCF安全白皮书](https://github.com/cncf/tag-security)
+-
+-
+-
 +---
 +title: 所有文章索引
 +date: 2025-10-10 10:30:41
 +---
++
 +# 所有文章索引
++
 +- [固件bios升降级](./固件bios升降级.md)
 +- [buildx-qemu-user + cross-gdb 调试记录](./buildx-qemu-user%20+%20cross-gdb%20调试记录.md)
 +- [container-security-tools](./container-security-tools.md)
 +- [docker-container驱动构建镜像失败分析 ](./docker-container驱动构建镜像失败分析%20.md)
 +- [Docker ps 高延迟问题分析](./Docker%20ps%20高延迟问题分析.md)
 +- [docker seccomp配置文件运行机制](./docker%20seccomp配置文件运行机制.md)
 +- [git大文件管理方法](./git大文件管理方法.md)
 +- [glibc 2.28增加LARCH_FLOAT_ABI后ldd报错](./glibc%202.28增加LARCH_FLOAT_ABI后ldd报错.md)
 +- [Harbor__Docker-compose启动失败分析](./Harbor__Docker-compose启动失败分析.md)
 +- [k8s单节点部署](./k8s单节点部署.md)
 +- [k8s多节点部署](./k8s多节点部署.md)
 +- [k8s 集群管理工具使用](./k8s%20集群管理工具使用.md)
 +- [k8s集群 内部业务部署策略](./k8s集群%20内部业务部署策略.md)
 +- [kTransformer推理框架调研报告](./kTransformer推理框架调研报告.md)
 +- [kubernetes 应用实例（以gohttpfilerserver为例）](./kubernetes%20应用实例（以gohttpfilerserver为例）.md)
 +- [kylin v10系统 编译qt 5.15.17及使用](./kylin%20v10系统%20编译qt%205.15.17及使用.md)
 +- [libLOL兼容方案](./libLOL兼容方案.md)
 +- [LoongArch Kubernetes 集群部署与 MetalLB Speaker 端口问题排查](./LoongArch%20Kubernetes%20集群部署与%20MetalLB%20Speaker%20端口问题排查.md)
 +- [Prometheus 在 LoongArch K8s 集群上部署权限问题排查与解决](./Prometheus%20在%20LoongArch%20K8s%20集群上部署权限问题排查与解决.md)
 +- [prometheus_grafana监控环境搭建](./prometheus_grafana监控环境搭建.md)
 +- [prometheus-oom](./prometheus-oom.md)
 +- [README](./README.md)