在過(guò)去的一年中，人們看到越來(lái)越多的企業(yè)加快數(shù)字化轉(zhuǎn)型，這反映了他們可能實(shí)施多年的技術(shù)路線圖正在加速交付。調(diào)研機(jī)構(gòu)麥肯錫公司表示，企業(yè)如今已經(jīng)到了一個(gè)需要調(diào)整業(yè)務(wù)運(yùn)營(yíng)的臨界點(diǎn)。使用基于微服務(wù)、容器和Kubernetes的多云環(huán)境和云原生架構(gòu)是數(shù)字化轉(zhuǎn)型的核心。雖然這些方法無(wú)疑有助于DevOps團(tuán)隊(duì)推動(dòng)數(shù)字敏捷性和更快的上市時(shí)間，但它們也帶來(lái)了新的應(yīng)用程序安全挑戰(zhàn)，并將面臨嚴(yán)重的風(fēng)險(xiǎn)。

云平臺(tái)是企業(yè)構(gòu)建基于DevOps的數(shù)字化轉(zhuǎn)型計(jì)劃的基礎(chǔ)層，云計(jì)算環(huán)境提高了成本效率和IT靈活性，并使企業(yè)能夠快速響應(yīng)不斷變化的市場(chǎng)需求。隨著各個(gè)行業(yè)對(duì)更快創(chuàng)新的需求不斷增長(zhǎng)，企業(yè)正在加大對(duì)云原生架構(gòu)的投資。調(diào)研機(jī)構(gòu)Gartner公司預(yù)測(cè)，到2022年，全球四分之三的企業(yè)將在生產(chǎn)中運(yùn)行容器化應(yīng)用程序，而在2020年這一比例不到30%。

容器和微服務(wù)將應(yīng)用程序功能分解為更易于管理的部分，可以快速構(gòu)建、測(cè)試和部署，這有助于團(tuán)隊(duì)加速創(chuàng)新。云原生架構(gòu)還為企業(yè)提供了在不同平臺(tái)之間移動(dòng)工作負(fù)載的靈活性，以確保他們的環(huán)境始終適合他們的需求。然而，這個(gè)更具活力的云原生時(shí)代伴隨著新的挑戰(zhàn)。DevOps團(tuán)隊(duì)可能沒(méi)有所需的工具或資源來(lái)管理額外的復(fù)雜層，并在代碼中的漏洞暴露之前識(shí)別它們。

鑒于開源庫(kù)的廣泛使用，這是一個(gè)特殊的挑戰(zhàn)。這些庫(kù)無(wú)需DevOps團(tuán)隊(duì)從頭開始編寫每一行代碼，從而有助于加快上市時(shí)間。然而，它們也包含無(wú)數(shù)需要不斷識(shí)別和清除的漏洞。這在動(dòng)態(tài)的云原生環(huán)境中并不容易實(shí)現(xiàn)，而在這種環(huán)境中，只有變化是唯一不變的。

傳統(tǒng)工具會(huì)造成盲點(diǎn)

調(diào)研機(jī)構(gòu)的研究發(fā)現(xiàn)了其他問(wèn)題。例如在調(diào)查中，89%的首席信息安全官(CISO)承認(rèn)微服務(wù)、容器、Kubernetes和多云環(huán)境已經(jīng)造成盲點(diǎn)，因?yàn)樗麄兊膫鹘y(tǒng)應(yīng)用程序安全解決方案無(wú)法看到這些盲點(diǎn)。這些傳統(tǒng)工具是為不同的時(shí)代而設(shè)計(jì)的，其特點(diǎn)是靜態(tài)基礎(chǔ)設(shè)施和單體應(yīng)用程序。在這些環(huán)境中，每月一次的掃描就足以在大多數(shù)漏洞被利用之前識(shí)別它們。如今，容器的壽命卻以小時(shí)和天為單位。這些工具根本無(wú)法跟上這種變化的步伐。他們通常也看不到容器化應(yīng)用程序的內(nèi)部，也無(wú)法發(fā)現(xiàn)其代碼中的缺陷。因此，即使一些有據(jù)可查的漏洞，例如導(dǎo)致2017年Equifax漏洞的ApacheStruts庫(kù)缺陷，也可能逃避檢測(cè)數(shù)月甚至數(shù)年的時(shí)間。

與此同時(shí)，85%的首席信息安全官(CISO)表示，希望DevOps和應(yīng)用程序團(tuán)隊(duì)對(duì)漏洞管理承擔(dān)更直接的責(zé)任。這并沒(méi)有錯(cuò)。事實(shí)上，許多人認(rèn)為DevSecOps和安全性“左移”是降低風(fēng)險(xiǎn)的最佳和最具成本效益的方法。然而，現(xiàn)有的工具和流程讓這些團(tuán)隊(duì)失望，因?yàn)椴](méi)有時(shí)間進(jìn)行人工掃描，通常缺乏承擔(dān)安全責(zé)任所需的技能，并且沒(méi)有足夠快地檢測(cè)關(guān)鍵漏洞的能力。一些DevOps團(tuán)隊(duì)甚至完全繞過(guò)安全控制，而另一些團(tuán)隊(duì)則拒絕與安全團(tuán)隊(duì)合作，因?yàn)閾?dān)心采取這些步驟會(huì)減緩上市時(shí)間。

因此，越來(lái)越多的漏洞正在進(jìn)入生產(chǎn)環(huán)境。在調(diào)查中，令人震驚的71%的首席信息安全官(CISO)表示，在投入生產(chǎn)之前，他們并不完全相信代碼中沒(méi)有漏洞。

傳統(tǒng)方法不再適用

此次調(diào)查強(qiáng)調(diào)了傳統(tǒng)安全方法和人工評(píng)估在動(dòng)態(tài)云原生環(huán)境中不再適用的結(jié)論。當(dāng)容器在幾秒鐘內(nèi)運(yùn)行時(shí)，實(shí)時(shí)洞察至關(guān)重要，并且微服務(wù)之間的依賴關(guān)系在跨越云平臺(tái)之間的邊界時(shí)不斷變化。傳統(tǒng)漏洞掃描器只提供靜態(tài)時(shí)間點(diǎn)視圖，通常無(wú)法區(qū)分潛在風(fēng)險(xiǎn)和實(shí)際暴露之間的區(qū)別。這可能會(huì)導(dǎo)致應(yīng)用程序安全和DevOps團(tuán)隊(duì)每個(gè)月都會(huì)收到數(shù)以千計(jì)的漏洞警報(bào)，而其中許多是誤報(bào)。

毫不奇怪，四分之三(74%)的首席信息安全官(CISO)認(rèn)為此類漏洞掃描工具無(wú)效。這些傳統(tǒng)工具不僅無(wú)法跟上容器化環(huán)境中快速變化的步伐，而且還因?yàn)橹魂P(guān)注軟件交付生命周期的一個(gè)階段而減緩了向DevSecOps的過(guò)渡。由于缺乏場(chǎng)景，團(tuán)隊(duì)很難找到和應(yīng)用正確的補(bǔ)丁，并且一旦部署代碼，安全團(tuán)隊(duì)就無(wú)法足夠快地找到漏洞以將風(fēng)險(xiǎn)降至最低。將大量誤報(bào)和警報(bào)與傳統(tǒng)工具提供的場(chǎng)景缺乏結(jié)合起來(lái)，將會(huì)浪費(fèi)大量時(shí)間，并增加應(yīng)用程序安全風(fēng)險(xiǎn)的秘訣。

自動(dòng)化是未來(lái)發(fā)展趨勢(shì)

為了克服這些挑戰(zhàn)并消除團(tuán)隊(duì)成員的負(fù)擔(dān)，企業(yè)需要能夠自動(dòng)識(shí)別應(yīng)用程序中的漏洞。如果他們能夠在運(yùn)行時(shí)自動(dòng)化測(cè)試，而無(wú)需配置或DevOps團(tuán)隊(duì)的任何額外工作，那么這是可能的。

通過(guò)將漏洞數(shù)據(jù)與運(yùn)行時(shí)環(huán)境的知識(shí)(例如相關(guān)代碼是否暴露在互聯(lián)網(wǎng)上)相結(jié)合，DevSecOps團(tuán)隊(duì)可以獲得他們需要的所有場(chǎng)景，以實(shí)時(shí)了解問(wèn)題的原因、性質(zhì)和影響。這樣做，團(tuán)隊(duì)可以有效地降低風(fēng)險(xiǎn)并以業(yè)務(wù)發(fā)展的速度加速創(chuàng)新。事實(shí)上，超過(guò)四分之三(77%)的首席信息安全官(CISO)表示，安全性跟上現(xiàn)代云原生應(yīng)用程序環(huán)境的唯一方法是用這種更加自動(dòng)化的方法取代人工部署、配置和管理。這不僅對(duì)于保護(hù)企業(yè)免受當(dāng)今云原生世界面臨的威脅至關(guān)重要，而且還使他們能夠在后疫情時(shí)代推動(dòng)以創(chuàng)新為主導(dǎo)的增長(zhǎng)。