近些年來�����,隨著云計算����、微服務和容器技術的快速普及,不僅IT基礎架構發(fā)生了巨大的變化�����,政企組織的業(yè)務交付模式也迎來巨大變遷�,傳統(tǒng)的開發(fā)模式向敏捷開發(fā)和持續(xù)交付模式遷移,在業(yè)務應用交付規(guī)模不斷擴大���、交付速度不斷提高�����、開發(fā)運營場景一體化的大環(huán)境下�����,安全問題你真的重視么���?
近些年來,隨著云計算��、微服務和容器技術的快速普及,不僅IT基礎架構發(fā)生了巨大的變化���,政企組織的業(yè)務交付模式也迎來巨大變遷�����,傳統(tǒng)的開發(fā)模式向敏捷開發(fā)和持續(xù)交付模式遷移�,在業(yè)務應用交付規(guī)模不斷擴大����、交付速度不斷提高、開發(fā)運營場景一體化的大環(huán)境下�,安全問題你真的重視么?
數(shù)據(jù)泄露���,后果很嚴重
2017年11月22日���,Uber發(fā)布聲明,承認2016年曾遭黑客攻擊并導致數(shù)據(jù)大規(guī)模泄露�����。根據(jù)這份聲明��,兩名黑客通過第三方云服務對Uber實施了攻擊�,獲取了5700萬名用戶數(shù)據(jù),包括司機的姓名和駕照號碼�,用戶的姓名、郵箱和手機號等���。
該事件不僅讓其首席安全官及副手被公司解雇����,Uber遭受了巨額的賠償�����,僅和美國加州和解費用就高達1.48億美元�����。可如此嚴重的后果�,經(jīng)調(diào)查發(fā)現(xiàn),竟然源于Uber的工程師將解鎖數(shù)據(jù)庫的安全密鑰存儲在GitHub的一個可以公開訪問的頁面所導致的�。
正所謂“人非圣賢孰能無過”,確實如此����。所有人都必須承認�����,無論是人為的失誤也好�,還是安全意識的薄弱也罷����,都是很難避免的?�?删退惚苊饬巳藶楹鲆暤仍?����,安全隱患依然無處不在�。
開源軟件漏洞,“組裝”的危機
2020年2月,國家信息安全漏洞共享平臺(CNVD ) 發(fā)布了關于Apache Tomcat 存在文件包含漏洞的公告��,該漏洞可以造成Tomcat上所有webapp目錄下的重要配置文件或源代碼等敏感數(shù)據(jù)的泄露���,若同時存在文件上傳功能���,則可以進一步實現(xiàn)遠程代碼執(zhí)行(RCE)���,直接控制服務器。
眾所周知���,Apache Tomcat是目前最重要的開源軟件之一,其在全球范圍內(nèi)被廣泛使用����,根據(jù)FOFA(網(wǎng)絡空間搜索引擎)系統(tǒng)最新的測繪數(shù)據(jù)顯示全球范圍內(nèi)有將近300萬個Tomcat服務對外開放,根據(jù)騰訊T-Sec系統(tǒng)提供的數(shù)據(jù)顯示�,國內(nèi)受影響的采用AJP協(xié)議的IP數(shù)量約是4萬個。
近年來��,隨著軟件開源化趨勢成為主流���,開源軟件已經(jīng)成為軟件供應鏈的重要環(huán)節(jié)��,是軟件生態(tài)不可或缺的組成部分���,可開源軟件的安全問題卻是很多組織所忽略和不知曉的。
Gartner的調(diào)查顯示��,99%的組織在其信息系統(tǒng)中使用了開源軟件�。Sonatype公司對3000家企業(yè)的開源軟件使用情況展開過調(diào)查,結果表明每年每家企業(yè)平均下載5000多個開源軟件。隨著開源技術快速形成生態(tài)�,企業(yè)用戶引入開源軟件已成大勢所趨,無法避免��,不僅如此�����,隨著大型軟件開發(fā)過程中�����,開源組件的占比越來越高�����,加之軟件開發(fā)人員往往只關注自己開發(fā)的那部分代碼的安全性����,忽視了采用的開源組件的安全質(zhì)量,最終導致成型軟件產(chǎn)品的系統(tǒng)安全問題越來越多��。
所以在這樣大時代背景下�����,開源軟件和工具已經(jīng)影響到了整個軟件行業(yè),一旦具有大規(guī)模用戶基礎的開源軟件存在安全漏洞����,后果和影響是無法想象的。
在非100%自研發(fā)的今天�,開源軟件的漏洞已然成為了軟件生態(tài)中安全漏洞的“罪魁禍首”!
安全檢查���,沒那么簡單
隨著安全漏洞問題的不斷爆出,越來越多的組織也開始意識到安全問題的重要性����,可隨著產(chǎn)品的開發(fā)生命周期越往后,其功能�����、接口�、代碼量、數(shù)據(jù)����、內(nèi)部關聯(lián)等越發(fā)的龐大和復雜,安全問題排查的難度�����、引發(fā)的修復成本也顯著增高,如下圖(來自OWASP中國)在安全修復成本上�����,IBM的研究人員也曾公開過統(tǒng)計數(shù)據(jù)��,在產(chǎn)品的發(fā)布以后安全問題的成本是在設計階段解決成本的4到5倍��,而在運維階段修復安全問題其成本將達到甚至超過100倍����!這也是導致了很多公司組織“心有余而力不足”,最后只能束手無策�。
目前在軟件開發(fā)安全相關的關注和處理上的公司所占比還是非常少的。據(jù)DZONE的安全報告的數(shù)據(jù)顯示和表明:公司越大用DevOps的人越多�,越重視安全問題??善渲兄挥?span style="font-family: 微軟雅黑, "Microsoft YaHei"; box-sizing: border-box; margin: 0px; padding: 0px;">30.6%的公司的軟件交付過程包括安全問題檢測,28.1%的公司包括合規(guī)性檢查�����。只有17.6%的公司可以自動化安全策略配置�����,安全性尚未與DevOps集成。36.5%的公司認為法規(guī)要求居首位���,20.4%的公司認為是客戶需求�,16.7%的公司為安全意識組織(如OWASP和SANS)�,在未來6到12個月內(nèi)這些優(yōu)先級不會有任何變化。 23.5%的公司人認為編碼時花在安全性上的時間最多��,其次是設計上的18.4%�,需求收集和分析上的15.9%�,測試上的12.6%,部署上的10.3%和維護上的9.9%��。
那么問題來了�����,我們該怎么辦呢�?
提升漏洞修復率- DevSecOps實踐
全球最大的應用程序安全測試(AST)解決方案提供商Veracode發(fā)布的軟件安全狀態(tài)報告(SOSS)顯示了一些可顯著提高漏洞修補效率的最佳實踐,例如DevSecOps���。
DevSecOps又是什么呢�?
下一篇,我們將為您揭曉DevSecOps的神秘面紗�。
立即登錄,閱讀全文
版權說明:
本文內(nèi)容來自于華為云社區(qū),本站不擁有所有權�����,不承擔相關法律責任��。文章內(nèi)容系作者個人觀點����,不代表快出海對觀點贊同或支持。如有侵權����,請聯(lián)系管理員(zzx@kchuhai.com)刪除!
閩公網(wǎng)安備 35010202001226號
