近些年來,隨著云計(jì)算��、微服務(wù)和容器技術(shù)的快速普及,不僅IT基礎(chǔ)架構(gòu)發(fā)生了巨大的變化���,政企組織的業(yè)務(wù)交付模式也迎來巨大變遷�����,傳統(tǒng)的開發(fā)模式向敏捷開發(fā)和持續(xù)交付模式遷移���,在業(yè)務(wù)應(yīng)用交付規(guī)模不斷擴(kuò)大、交付速度不斷提高���、開發(fā)運(yùn)營場(chǎng)景一體化的大環(huán)境下�,安全問題你真的重視么���?
近些年來�����,隨著云計(jì)算���、微服務(wù)和容器技術(shù)的快速普及,不僅IT基礎(chǔ)架構(gòu)發(fā)生了巨大的變化�,政企組織的業(yè)務(wù)交付模式也迎來巨大變遷�,傳統(tǒng)的開發(fā)模式向敏捷開發(fā)和持續(xù)交付模式遷移�,在業(yè)務(wù)應(yīng)用交付規(guī)模不斷擴(kuò)大、交付速度不斷提高�����、開發(fā)運(yùn)營場(chǎng)景一體化的大環(huán)境下�����,安全問題你真的重視么�?
數(shù)據(jù)泄露,后果很嚴(yán)重
2017年11月22日�,Uber發(fā)布聲明,承認(rèn)2016年曾遭黑客攻擊并導(dǎo)致數(shù)據(jù)大規(guī)模泄露���。根據(jù)這份聲明��,兩名黑客通過第三方云服務(wù)對(duì)Uber實(shí)施了攻擊��,獲取了5700萬名用戶數(shù)據(jù)��,包括司機(jī)的姓名和駕照號(hào)碼���,用戶的姓名�����、郵箱和手機(jī)號(hào)等。
該事件不僅讓其首席安全官及副手被公司解雇�,Uber遭受了巨額的賠償,僅和美國加州和解費(fèi)用就高達(dá)1.48億美元�����。可如此嚴(yán)重的后果�,經(jīng)調(diào)查發(fā)現(xiàn),竟然源于Uber的工程師將解鎖數(shù)據(jù)庫的安全密鑰存儲(chǔ)在GitHub的一個(gè)可以公開訪問的頁面所導(dǎo)致的��。
正所謂“人非圣賢孰能無過”�����,確實(shí)如此��。所有人都必須承認(rèn)��,無論是人為的失誤也好��,還是安全意識(shí)的薄弱也罷��,都是很難避免的?��?删退惚苊饬巳藶楹鲆暤仍?�,安全隱患依然無處不在���。
開源軟件漏洞�,“組裝”的危機(jī)
2020年2月,國家信息安全漏洞共享平臺(tái)(CNVD ) 發(fā)布了關(guān)于Apache Tomcat 存在文件包含漏洞的公告,該漏洞可以造成Tomcat上所有webapp目錄下的重要配置文件或源代碼等敏感數(shù)據(jù)的泄露���,若同時(shí)存在文件上傳功能����,則可以進(jìn)一步實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行(RCE),直接控制服務(wù)器�。
眾所周知,Apache Tomcat是目前最重要的開源軟件之一�����,其在全球范圍內(nèi)被廣泛使用��,根據(jù)FOFA(網(wǎng)絡(luò)空間搜索引擎)系統(tǒng)最新的測(cè)繪數(shù)據(jù)顯示全球范圍內(nèi)有將近300萬個(gè)Tomcat服務(wù)對(duì)外開放,根據(jù)騰訊T-Sec系統(tǒng)提供的數(shù)據(jù)顯示�����,國內(nèi)受影響的采用AJP協(xié)議的IP數(shù)量約是4萬個(gè)�。
近年來,隨著軟件開源化趨勢(shì)成為主流�,開源軟件已經(jīng)成為軟件供應(yīng)鏈的重要環(huán)節(jié)�����,是軟件生態(tài)不可或缺的組成部分�����,可開源軟件的安全問題卻是很多組織所忽略和不知曉的����。
Gartner的調(diào)查顯示,99%的組織在其信息系統(tǒng)中使用了開源軟件����。Sonatype公司對(duì)3000家企業(yè)的開源軟件使用情況展開過調(diào)查,結(jié)果表明每年每家企業(yè)平均下載5000多個(gè)開源軟件�。隨著開源技術(shù)快速形成生態(tài),企業(yè)用戶引入開源軟件已成大勢(shì)所趨��,無法避免,不僅如此��,隨著大型軟件開發(fā)過程中�����,開源組件的占比越來越高����,加之軟件開發(fā)人員往往只關(guān)注自己開發(fā)的那部分代碼的安全性,忽視了采用的開源組件的安全質(zhì)量�����,最終導(dǎo)致成型軟件產(chǎn)品的系統(tǒng)安全問題越來越多�。
所以在這樣大時(shí)代背景下,開源軟件和工具已經(jīng)影響到了整個(gè)軟件行業(yè)�,一旦具有大規(guī)模用戶基礎(chǔ)的開源軟件存在安全漏洞,后果和影響是無法想象的��。
在非100%自研發(fā)的今天�,開源軟件的漏洞已然成為了軟件生態(tài)中安全漏洞的“罪魁禍?zhǔn)住保?span style="font-family: 微軟雅黑, "Microsoft YaHei"; box-sizing: border-box; margin: 0px; padding: 0px;">
安全檢查,沒那么簡(jiǎn)單
隨著安全漏洞問題的不斷爆出�����,越來越多的組織也開始意識(shí)到安全問題的重要性,可隨著產(chǎn)品的開發(fā)生命周期越往后�����,其功能�����、接口��、代碼量�、數(shù)據(jù)��、內(nèi)部關(guān)聯(lián)等越發(fā)的龐大和復(fù)雜�,安全問題排查的難度、引發(fā)的修復(fù)成本也顯著增高����,如下圖(來自OWASP中國)在安全修復(fù)成本上,IBM的研究人員也曾公開過統(tǒng)計(jì)數(shù)據(jù)��,在產(chǎn)品的發(fā)布以后安全問題的成本是在設(shè)計(jì)階段解決成本的4到5倍�����,而在運(yùn)維階段修復(fù)安全問題其成本將達(dá)到甚至超過100倍!這也是導(dǎo)致了很多公司組織“心有余而力不足”����,最后只能束手無策。
目前在軟件開發(fā)安全相關(guān)的關(guān)注和處理上的公司所占比還是非常少的�。據(jù)DZONE的安全報(bào)告的數(shù)據(jù)顯示和表明:公司越大用DevOps的人越多,越重視安全問題�����?���?善渲兄挥?span style="font-family: 微軟雅黑, "Microsoft YaHei"; box-sizing: border-box; margin: 0px; padding: 0px;">30.6%的公司的軟件交付過程包括安全問題檢測(cè),28.1%的公司包括合規(guī)性檢查�����。只有17.6%的公司可以自動(dòng)化安全策略配置�,安全性尚未與DevOps集成。36.5%的公司認(rèn)為法規(guī)要求居首位�����,20.4%的公司認(rèn)為是客戶需求,16.7%的公司為安全意識(shí)組織(如OWASP和SANS)����,在未來6到12個(gè)月內(nèi)這些優(yōu)先級(jí)不會(huì)有任何變化。 23.5%的公司人認(rèn)為編碼時(shí)花在安全性上的時(shí)間最多��,其次是設(shè)計(jì)上的18.4%��,需求收集和分析上的15.9%��,測(cè)試上的12.6%����,部署上的10.3%和維護(hù)上的9.9%。
那么問題來了�����,我們?cè)撛趺崔k呢����?
提升漏洞修復(fù)率- DevSecOps實(shí)踐
全球最大的應(yīng)用程序安全測(cè)試(AST)解決方案提供商Veracode發(fā)布的軟件安全狀態(tài)報(bào)告(SOSS)顯示了一些可顯著提高漏洞修補(bǔ)效率的最佳實(shí)踐����,例如DevSecOps�。
DevSecOps又是什么呢�����?
下一篇��,我們將為您揭曉DevSecOps的神秘面紗�。
立即登錄,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于華為云社區(qū)�,本站不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任�����。文章內(nèi)容系作者個(gè)人觀點(diǎn)��,不代表快出海對(duì)觀點(diǎn)贊同或支持�����。如有侵權(quán)����,請(qǐng)聯(lián)系管理員(zzx@kchuhai.com)刪除�!
閩公網(wǎng)安備 35010202001226號(hào)
