一往无前: EnterpriseStrategyGroup|Gettingtothebiggertruth.™ GitOps与安全左移 可全扩解展决且方以案开发者为中心的供应链安 M20el2in2d年aM8a月rks,ESG高级分析师 ©2022TechTarget,Inc.版权所有,保留所有权利。 一往无前:GitOps与左移安全性2 研究目标 随着企业开始采用现代软件开发流程,开发人员可以通过将应用部署到云端而快速开发和发布应用。这给安全团队带来了挑战,要求他们必须跟上持续集成/持续部署(CI/CD)周期及其动态组件的增长和速度。 虽然业界一直在讨论通过安全左移来帮助解决问题,实现安全能力的扩展和和应用程序的快速开发,但企业在将其付诸实践时面临着挑战。大多数云原生安全事件都是由不当配置引起的,这给安全团队带来了很大的压力,迫使他们寻找将安全性纳入开发流程的方法,以便在部署之前发现并修复编码问题。企业还需要聚焦于寻找与开发团队更好的协作方式,从而快速修复检测到的任何安全问题。为了洞察这些趋势,ESG对来自北美(美国和加拿大)中型企业(100至999名员工)和大企业(1,000名或更多员工)中负责评估、购买和使用以开发者为中心的安全产品的350名IT(30%)和网络安全(40%)决策者以及应用开发人员(30%)进行了调研。 本研究旨在: 作量。 确定企业将安全纳入开发者工作流的程度。洞同察时哪又些不类会型减的慢解开决发方流案程能。够最有效地保护软件, 了的解挑企战业。在速度更快的云原生开发生命周期中面临 评署估方买式、家以对及供这应些商解解决决方方案案如的何偏能好够、解减决少方团案队的工 ©2022TechTarget,Inc.AllRightsReserved.BacktoContents 4. 现加代剧应了用安开全发风提险升了速度,也 9. 安全需要纳入开发流程 13. 云来原越生严网峻络安全威胁形势越 一往无前:GitOps与左移安全性 17. 况安下全融必入须到在开不发中流断程运中行的情 21. 试企纳业已入开经开发流始程将,监以控降和低安风全险测 24. 全企方业面已投经资开始在开发流程安 目录 点击查看 ©2022TechTarget,Inc.AllRightsReserved. 现也代加应剧用了开安发全提风升险了速度, 一往无前:GitOps与左移安全性5 80%的受访企业指出,他们在编写云原生应用时使用了开源软件。 8IN10 开源软件(OSS)日益普及 受访者认识到,OSS组件在应用开发中的使用日益广泛。事实上,80%的受访企业指出,他们在编写云原生 应用时使用了开源软件。开发者通过在应用开发中使用现成的开源代码来节省时间,从而能够腾出更多时间为软件的独特功能构建定制代码;但他们必须确保这种做法不会引入安全风险,这一点非常重要。鉴于开源软件是由强大的云原生开发社区以及共享和贡献代码的供应商提供的,因此,OSS在软件代码成分中占比很高也就不足为奇了。 »开源软件在云原生应用中的使用情况。 我们目前正软在件使用开源 我们计划用在开未源来软12件个月内使 »OSS在代码组成中的占比。 42% 49% 3%6% 19% 80% 另有1%的受访者对使用开源软件感兴趣。 Lessthan25%25%to50%51%and75%Morethan75% ©2022TechTarget,Inc.版权所有,保留所有权利。返回目录 一往无前:GitOps与左移安全性 使用开源软件的主要安全隐患 6 企业寻找各种办法来全面了解其 虽然使用开源软件(OSS)可以节省开发人员的时间,但企业也很担心其安全隐患。黑客热衷于寻找常用的开源软件(OSS)的漏洞,因为一旦找到它们的弱点,攻击者便可以对使用它们的任何公司发动攻击。 因此,企业寻找各种办法来确保全面了解其使用的开源组件(OSS),并能够在发现漏洞时快速做出响应。 »开源软件的挑战和担忧 O出S响S组应件。”,并能够在发现漏洞时快速做 -MelindaMarks,ESG高级分析师 了材解料代清码单组成并生成软件 迅速使用新发布的补丁 快速修复漏洞 54%码有高比例的开源应用代 成41%客攻击大众化/常用开源软件的受害者 40%信任代码来源 39%识别出代 39% 39% 38% 码中的漏洞 “ ©2022TechTarget,Inc.版权所有,保留所有权利。返回目录 一往无前:GitOps与左移安全性7 未来两年内, 61% 的生受应访用使企用业预IaC计模他板们。会对超过一半的云原 基础架构即代码的使用量日益增加 基础架构即代码(IaC)使开发人员能够配置自己的基础架构,不必等待IT或运营团队为其进行配置。他 们通常使用模板中的代码,以声明方式来编写所需的云基础架构,用于管理网络、计算服务和存储等资源。超过三分之二(69%)的受访企业目前正在使用IaC模板来配置云基础架构,另有27%的受访企业计划在未来12个月内采取这种做法。虽然目前的使用率不高,但61%的受访企业预计,他们会在未来两年内对超过一半的云原生应用使用IaC模板。 »IaC模板的使用情况 我板们来目配前置正云在基使础用架Ia构C模 我月们内计使划用在I未aC来模1板2个 正在使用IaC模板的云原生应用的百分比 将在未来12-24个月内使用IaC模板的云原生应用的占比 69% 27% 4% 0% 7% 2% 15% 16% 30% 36% 41% 46% 另有4%的受访企业对使用IaC模板感兴趣 ©2022TechTarget,Inc.版权所有,保留所有权利。 0%(i.e.,none)1%to25%26%to50%51%to75%Morethan75% 返回目录 一往无前:GitOps与左移安全性 与置和IaC突使发用事相件关的不当配 随着开发人员越来越多地使用IaC,出错的几率也越来越大。错误配置可能导致无法检测到编码问题,但由于编码控制着资源访问,因此,错误配置可能会带来严重后果。大多数(83%)的受访者表示,使用IaC导致不当配置有所增加,给他们带来了一系列不良后果,包括未经授权访问应用和数据、引入恶意软件、影响服务水平和数据丢失等。 8 83% 的受访者表示,他们因使用IaC而导致不当配置有所增加。 »IaC模板导致不当配置增加而产生的影响 41% 43% 46% 未经授权访问应用和数据引入加密劫持恶意软件来挖掘加密货币补救措施影响了服务水平协议(SLA) 38% 因不遵守行业法规而被处罚 35% 38% 引入恶意软件引入勒索软件 21% 数据丢失 ©2022TechTarget,Inc.版权所有,保留所有权利。返回目录 安开全发需流要程融入 一往无前:GitOps与左移安全性10 将安全纳入开发流程 企业正在努力将安全流程纳入到软件开发中,从而不会因为发布周期的缩短而面临无法控制的安全风险,例如敏捷软件开发流程、安全即代码(SaC)和GitOps中的网络安全用户 故事。尽管只有59%的受访者表示他们已经实施了SaC,但受访者认为,这种方法在未来两年内将成为一种高度流行的网络安全方法。尽管大多数受访者都认可采用SaC带来的效果,但鉴于其成熟度和持续的网络安全技能短缺,企业仍然无法确定其如何实施,或者说如何跨项目和团队进行实施。 »当前用于保护云原生应用的安全流程»受访者对安全即代码的看法 定义敏捷软件开发过程中的网络安全用户故事未的来网络24个安月全内方,法安全即代码将成为一种高度相关 63%72% 安全即代码 59% GitOps恢复到以前的配置 55% “我安的全网即络代安码全”团的队能缺力乏足够数量的安全分析人员具备实施 56% 安络全安即全代计码划目前还不够成熟,无法纳入我们的网 51% ©2022TechTarget,Inc.版权所有,保留所有权利。返回目录 一往无前:GitOps与左移安全性11 31% 的生受过访机企密业信表息窃示,取这事个件源。代码存储库在过去12个月内发 Git存储库中的机密信息扫描 开发人员通常将机密信息(即包含密码、API密钥和令牌的凭据)硬编码到代码中,以便于使用。据调查,85%的企业已经开始通过扫描Git存储库来查找并找到了大量的机密。扫描显然是一种不错的做法,但不能保证机密信息得到保护。风险的降低取决于安全团队能否确保采取补救措施。事实上,虽然大多数企业都会通过扫描Git存储库来查找机密信息,但近三分之一(31%)的受访者表示,这个源代码存储库发生过机密信息窃取事件。 我们目前通过扫描 G风it险存的储机库密来信发息现有 85% »通过Git存储库扫描获得的机密信息估值 11% 24% 27% 35% 3% Fewerthan1010to5051to100101to1,000Morethan1,000 ©2022TechTarget,Inc.版权所有,保留所有权利。返回目录 一往无前:GitOps与左移安全性12 加快开发周期的同时落地应用安全实践的挑战 随着安全团队努力将安全纳入开发流程,为了能够与CI/CD的发布速度和数量保持同步,他们需要应对诸多挑战。据调查,最严峻的挑战是未经安全检查和测试的软件发布(45%)以及开发过程中缺乏安全可视性和控制(43%)。此外,近三分之二的受访企业拥有超过50个Git存储库,这进一步加剧了这些挑战。 的受访企业拥有超过 65% 50个Git存储库。 »CI/CD开发周期缩短带来的安全挑战 45% 未经安全检查和/或测试的软件发布 43% 开发过程中缺乏安全可视性和控制 36% 涉及不同开发团队的安全流程缺乏一致性 35% 新版本部署到生产环境时存在和配其置他错安误全、问漏题洞 34% 安全团队无法跟上发布节奏 32% 开发人员跳过安全流程 29% 开发人员不想参与安全事务 ©2022TechTarget,Inc.版权所有,保留所有权利。返回目录 云形原势生越网来络越安严全峻威胁 一往无前:GitOps与左移安全性 14 API是最容易受到攻击的元素,其次是数据存储库和内部 45% “ 最与容近易期受发到生攻的击安的全云事原件生一元致素 受访企业对其认为最容易受到攻击的软件栈和工具链中的元素进行了评级。API首当其冲,其次是数据存储库和内部开发的应用源代码。 绝大多数受访者都表示,内部开发的云原生应用可能给公司带来各种相关的安全事件和后果。据受访者表示,最常见的三类事件涉及API的不安全使用、代码漏洞和受损的账户凭据,这恰好与两个最易受到攻击的软件栈元素相一致。 ©2022TechTarget,Inc.版All权R所igh有ts,R保es留er所ve有d.权利。 开发的应用源代码。” »云原生应用栈中最容易受到攻击的元素 应用编程接口 34% 38% 42% 数据存储库内部开发的应用源代码 25% 27% 31% 32% 应用容器镜像开源软件(OSS)源代码存储库CI/CD管道工具无服务器功能 24% 第三方库 Backto返Co回nt目en录ts 一往无前:GitOps与左移安全性15 »云原生应用导致的网络安全事件 由致于数据AP丢I的失不的安攻全击使用而导 38% 利漏用洞内的部漏开洞发利代用码攻中击的已知 37% 利漏用洞开利源用软攻件击中已知漏洞的 34% 利洞用利配用置攻不击当的云服务的漏 33% 利新用攻漏击开洞源进软行件的“中零以日前”漏未洞知利的 28% 利的用攻新击内漏部洞开进发行代的“码零中日以”漏前洞未利知 27% 受损的服务账户凭据 35% 从密源信代息码存储库中窃取的机 31% 受损的特权用户凭据 26% ©2022TechTarget,Inc.版权所有,保留所有权利。返回目录 一往无前:GitOps与左移安全性 在备受关注的攻击事件之后,企业加强对软件供应链安全的措施 为了消除顾虑,防止云原生应用攻击