云原生应用安全的重要性

关键要点

大多数应用程序已转移到云端，以支持远程办公和保持竞争力。预计到2025年，95的新云工作负载将部署在云原生平台上。开源软件OSS在应用程序开发中占比达到75，但同时也带来安全风险。必须优先关注开源安全，确保软件代码的安全性与完整性。

近年来，随着企业响应远程办公的需要，并寻求保持竞争力，越来越多的应用程序逐渐转移到云端。Gartner预计，到2025年，超过95的新云工作负载将会部署在云原生平台上，较2021年的30大幅提升。这表明，云应用和平台已经成为未来发展的重要组成部分。

回顾几十年前，当时开发的代码库主要由我和我的团队独立开发。然而，现如今的平均应用程序已经包含75的开源组件。这种开源软件OSS的可访问性对于敏捷及云原生开发方式至关重要，开发者可以更加快速、模块化地构建应用，而无需每次编码时皆从头开始。不幸的是，像Log4j和Equifax这样的重大漏洞案例提醒我们，开源软件往往存在已知的安全漏洞。

必须优先关注开源安全

攻击者正愈发关注代码作为渗透数字环境的一种手段。针对开源软件的攻击吸引罪犯，因为通过利用这些漏洞可以引发广泛的影响。一次开源软件的攻击可能会影响数百万用户及数百家公司。例如，Log4j在漏洞暴露前已在全球范围内被下载数百万次，最终成为每个安全团队的噩梦。

拜登政府为保护开源软件漏洞采取了措施，发布了要求与联邦机构合作的软件生产商提供软件材料清单SBOM的指南，以确保软件经过代码完整性检查并排除漏洞。

Log4j等攻击展示了开源软件存在的脆弱性程度，而由于我们目前对OSS的高度依赖，必须确保其安全。作为安全专业人士，我们必须为开发者提供安全工具，使他们能够自信而快速地构建应用。

当前开源安全策略的不足之处

尽管软件组成分析SCA工具将安全性向左延伸，旨在应用生命周期中扫描已知漏洞，但许多工具仍为单一工具，缺乏处理云原生应用相互关联和复杂性的能力。这可能导致修复成本高昂，应用程序部署延迟。即便团队能够筛选安全发现以优先处理漏洞，他们仍无法全面了解开源风险，因为许多SCA解决方案缺乏深入扫描所有开源风险的能力。

在将OSS集成到代码库中的开发者与安全团队之间存在着巨大脱节，OSS的普及与复杂性使得开发者甚至在识别代码库中存在哪些OSS时也面临极大挑战。

实现真正的代码安全

为了克服这些挑战，组织可以遵循一些最佳实践以确保真正的代码安全：

整合建立上下文感知的方法：采用集中式安全平台来应对代码、构建、部署及运行整个应用生命周期的风险。通过使用同一个智能流来识别漏洞，可以提供一致、准确的全环境漏洞可见性，确保优先解决最关键的漏洞。

追求可见性，使用开发者友好的工具：开源软件极度依赖于各种依赖关系，确保依赖树的全面可见性至关重要，以防漏洞未被发现或修复。实施可无缝集成到开发者常用工具中的开源安全如集成开发环境IDE和版本控制系统VCS，可及时提供反馈。在开发过程中处理漏洞，可以减少安全团队的后续问题处理，同时减少开发者在后续需要转换上下文的烦恼。

加速器免费安装

积极维护SBOM：持

安全团队促进开源创新的三种方式