云原生将会带来网络安全问题
据Snyk的一份研究报告显示,使用云端设备不仅会改变企业构建现代应用的方式,还会带来更多的安全威胁和担忧。
特别是,该报告发现:
- 半数以上的受访公司都曾因配置错误或云本地应用程序存在已知的漏洞而遭受安全事件。
- 开发者比他们的安全同行多三倍地相信安全是他们的责任,
- 使用自动化可以让安全性测试更有可能每天运行,甚至更频繁。
Snyk的总裁GuyPodjarny说:“从开发者角色的演变和整个安全产业的发展来看,我们正处在一个转折点。”
"这项最新研究表明,那些选择为自己的开发团队配备合适的安全工具的企业,将比其他公司更快和更安全地发布自己的应用程序,从而使它们在未来10年内成为行业领袖。”
56%的云原生服务出现了错误配置或已知的漏洞事件。
使用本地云改变了组织对云威胁的防御方式,错误配置和已知的漏洞显然是主要问题。其主要发现如下:
- 在采用本地云之后,有60%的人增加了对安全的担忧。
- 人们认为错误的配置是增加关注的最大原因(超过半数的受访者表示,自从迁移到云本地平台以来,这是一个更大的问题)。
- 众所周知,未修补的漏洞(38%)是导致云本地环境中出现最多安全事件的原因。
开发者将安全视为他们的责任的可能性提高了三倍。
如今,开发者需要的解决方案可以让他们构建整个应用的安全性——从代码和开放源码容器到云基础设施。如今,他们有机会在开发组织角色时拥有更大的权力和自主权,承担起关键安全领导作用。
这一重大发现表明,与传统流程中的历史角色相比,开发团队现在愿意更快地接受更大的安全性所有权。比如:
安全角色的被调查者把安全所有权归给他们的团队的可能性是开发团队的三倍。
有36%的开发者承认他们应该为云本地环境的安全负责。同时,只有不到10%的受访者认为开发者应负安全责任。使用自动化可以使每日运行的安全性测试数增加17倍。
将安全工具和最佳实践嵌入到软件开发生命周期中,以一种更加广泛和深入的方式解决网络安全问题,这是云本地应用安全成功的成败因素。
调查结果显示,云端本地自动化程度较高的企业也更多地采用安全测试。使用自动化的公司实施安全性测试的可能性比普通公司要高一倍,而在其开发生命周期中使用静态应用程序安全测试(SAST)和软件组合分析(SCA)工具的可能性要高一倍。
自动操作还可以使更频繁的测试更加容易,让漏洞能够被识别并快速修复:
近70%的高度自动化部署的被调查者每天都能测试自己的安全(比不进行自动化部署的多17倍,60%的被调查者每月只测试自己的安全)。
有72%以上的自动化程度较高的人被调查的平均修复时间少于一周,36%的人被调查的平均修复时间少于一天。
在安全问题可见性方面,自动化测试也是一个关键因素,在较少自动化的组织中,28%的人承认他们目前不知道要花多少时间来解决这个问题。
