華為云|未雨綢繆，別被黑客盯上

近些年來(lái)，隨著云計(jì)算、微服務(wù)和容器技術(shù)的快速普及，不僅IT基礎(chǔ)架構(gòu)發(fā)生了巨大的變化，政企組織的業(yè)務(wù)交付模式也迎來(lái)巨大變遷，傳統(tǒng)的開(kāi)發(fā)模式向敏捷開(kāi)發(fā)和持續(xù)交付模式遷移，在業(yè)務(wù)應(yīng)用交付規(guī)模不斷擴(kuò)大、交付速度不斷提高、開(kāi)發(fā)運(yùn)營(yíng)場(chǎng)景一體化的大環(huán)境下，安全問(wèn)題你真的重視么？

數(shù)據(jù)泄露，后果很?chē)?yán)重

2017年11月22日，Uber發(fā)布聲明，承認(rèn)2016年曾遭黑客攻擊并導(dǎo)致數(shù)據(jù)大規(guī)模泄露。根據(jù)這份聲明，兩名黑客通過(guò)第三方云服務(wù)對(duì)Uber實(shí)施了攻擊，獲取了5700萬(wàn)名用戶(hù)數(shù)據(jù)，包括司機(jī)的姓名和駕照號(hào)碼，用戶(hù)的姓名、郵箱和手機(jī)號(hào)等。

該事件不僅讓其首席安全官及副手被公司解雇，Uber遭受了巨額的賠償，僅和美國(guó)加州和解費(fèi)用就高達(dá)1.48億美元。可如此嚴(yán)重的后果，經(jīng)調(diào)查發(fā)現(xiàn)，竟然源于Uber的工程師將解鎖數(shù)據(jù)庫(kù)的安全密鑰存儲(chǔ)在GitHub的一個(gè)可以公開(kāi)訪(fǎng)問(wèn)的頁(yè)面所導(dǎo)致的。

正所謂“人非圣賢孰能無(wú)過(guò)”，確實(shí)如此。所有人都必須承認(rèn)，無(wú)論是人為的失誤也好，還是安全意識(shí)的薄弱也罷，都是很難避免的。可就算避免了人為忽視等原因，安全隱患依然無(wú)處不在。

開(kāi)源軟件漏洞，“組裝”的危機(jī)

2020年2月,國(guó)家信息安全漏洞共享平臺(tái)(CNVD ) 發(fā)布了關(guān)于Apache Tomcat 存在文件包含漏洞的公告，該漏洞可以造成Tomcat上所有webapp目錄下的重要配置文件或源代碼等敏感數(shù)據(jù)的泄露，若同時(shí)存在文件上傳功能，則可以進(jìn)一步實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行(RCE)，直接控制服務(wù)器。

眾所周知，Apache Tomcat是目前最重要的開(kāi)源軟件之一，其在全球范圍內(nèi)被廣泛使用，根據(jù)FOFA（網(wǎng)絡(luò)空間搜索引擎）系統(tǒng)最新的測(cè)繪數(shù)據(jù)顯示全球范圍內(nèi)有將近300萬(wàn)個(gè)Tomcat服務(wù)對(duì)外開(kāi)放，根據(jù)騰訊T-Sec系統(tǒng)提供的數(shù)據(jù)顯示，國(guó)內(nèi)受影響的采用AJP協(xié)議的IP數(shù)量約是4萬(wàn)個(gè)。

近年來(lái)，隨著軟件開(kāi)源化趨勢(shì)成為主流，開(kāi)源軟件已經(jīng)成為軟件供應(yīng)鏈的重要環(huán)節(jié)，是軟件生態(tài)不可或缺的組成部分，可開(kāi)源軟件的安全問(wèn)題卻是很多組織所忽略和不知曉的。

Gartner的調(diào)查顯示，99%的組織在其信息系統(tǒng)中使用了開(kāi)源軟件。Sonatype公司對(duì)3000家企業(yè)的開(kāi)源軟件使用情況展開(kāi)過(guò)調(diào)查，結(jié)果表明每年每家企業(yè)平均下載5000多個(gè)開(kāi)源軟件。隨著開(kāi)源技術(shù)快速形成生態(tài)，企業(yè)用戶(hù)引入開(kāi)源軟件已成大勢(shì)所趨，無(wú)法避免，不僅如此，隨著大型軟件開(kāi)發(fā)過(guò)程中，開(kāi)源組件的占比越來(lái)越高，加之軟件開(kāi)發(fā)人員往往只關(guān)注自己開(kāi)發(fā)的那部分代碼的安全性，忽視了采用的開(kāi)源組件的安全質(zhì)量，最終導(dǎo)致成型軟件產(chǎn)品的系統(tǒng)安全問(wèn)題越來(lái)越多。

所以在這樣大時(shí)代背景下，開(kāi)源軟件和工具已經(jīng)影響到了整個(gè)軟件行業(yè)，一旦具有大規(guī)模用戶(hù)基礎(chǔ)的開(kāi)源軟件存在安全漏洞，后果和影響是無(wú)法想象的。

在非100%自研發(fā)的今天，開(kāi)源軟件的漏洞已然成為了軟件生態(tài)中安全漏洞的“罪魁禍?zhǔn)住保?span style="font-family: 微軟雅黑, "Microsoft YaHei"; box-sizing: border-box; margin: 0px; padding: 0px;">

安全檢查，沒(méi)那么簡(jiǎn)單

隨著安全漏洞問(wèn)題的不斷爆出，越來(lái)越多的組織也開(kāi)始意識(shí)到安全問(wèn)題的重要性，可隨著產(chǎn)品的開(kāi)發(fā)生命周期越往后，其功能、接口、代碼量、數(shù)據(jù)、內(nèi)部關(guān)聯(lián)等越發(fā)的龐大和復(fù)雜，安全問(wèn)題排查的難度、引發(fā)的修復(fù)成本也顯著增高，如下圖（來(lái)自OWASP中國(guó)）在安全修復(fù)成本上，IBM的研究人員也曾公開(kāi)過(guò)統(tǒng)計(jì)數(shù)據(jù)，在產(chǎn)品的發(fā)布以后安全問(wèn)題的成本是在設(shè)計(jì)階段解決成本的4到5倍，而在運(yùn)維階段修復(fù)安全問(wèn)題其成本將達(dá)到甚至超過(guò)100倍！這也是導(dǎo)致了很多公司組織“心有余而力不足”，最后只能束手無(wú)策。

目前在軟件開(kāi)發(fā)安全相關(guān)的關(guān)注和處理上的公司所占比還是非常少的。據(jù)DZONE的安全報(bào)告的數(shù)據(jù)顯示和表明：公司越大用DevOps的人越多，越重視安全問(wèn)題。可其中只有30.6％的公司的軟件交付過(guò)程包括安全問(wèn)題檢測(cè)，28.1％的公司包括合規(guī)性檢查。只有17.6％的公司可以自動(dòng)化安全策略配置，安全性尚未與DevOps集成。36.5％的公司認(rèn)為法規(guī)要求居首位，20.4％的公司認(rèn)為是客戶(hù)需求，16.7％的公司為安全意識(shí)組織（如OWASP和SANS），在未來(lái)6到12個(gè)月內(nèi)這些優(yōu)先級(jí)不會(huì)有任何變化。 23.5％的公司人認(rèn)為編碼時(shí)花在安全性上的時(shí)間最多，其次是設(shè)計(jì)上的18.4％，需求收集和分析上的15.9％，測(cè)試上的12.6％，部署上的10.3％和維護(hù)上的9.9％。

那么問(wèn)題來(lái)了，我們?cè)撛趺崔k呢？

提升漏洞修復(fù)率- DevSecOps實(shí)踐

全球最大的應(yīng)用程序安全測(cè)試（AST）解決方案提供商Veracode發(fā)布的軟件安全狀態(tài)報(bào)告（SOSS）顯示了一些可顯著提高漏洞修補(bǔ)效率的最佳實(shí)踐，例如DevSecOps。

DevSecOps又是什么呢？

下一篇，我們將為您揭曉DevSecOps的神秘面紗。