根据调研机构对700个首席信息安全官的调查显示,云本地体系结构、DevOps和敏捷方法的不断采用打破了传统的应用程序安全方法。


随着组织将更多的责任“左”移到开发人员身上以加速创新,越来越复杂的IT生态系统和过时的安全工具会留下盲点并迫使团队手动筛选无数警报,从而导致发布速度减慢,其中许多是误报,反映了库中未在生产中使用的漏洞。


组织正在呼吁一种针对多云环境、Kubernetes和DevSecOps进行优化的新方法。

应用程序安全方法因越来越多地采用云原生架构而被打破

应用程序安全盲点


•89%的首席信息安全官表示,微服务、容器和Kubernetes造成了应用程序安全盲点。


•97%的组织无法实时查看容器化生产环境中的运行时漏洞。


•63%的首席信息安全官表示,DevOps和敏捷开发使得检测和管理软件漏洞变得更加困难。


•74%的首席信息安全官表示,传统的安全控制(如漏洞扫描)已不再适合当今的云计算原生世界。


•71%的首席信息安全官承认,在投入生产之前,他们并不完全相信代码没有漏洞。


Dynatrace公司首席技术官Bernd Greifeneder说:“云本地架构的使用增加从根本上打破了传统的应用程序安全方法。


“这项研究证实了我们长期以来的预期:在当今动态云环境和快速创新周期中,手动漏洞扫描和影响评估已无法跟上变化的步伐。


“由于越来越多的内部和外部服务依赖性、运行时动态性、连续交付以及使用越来越多第三方技术的多语言软件开发,风险评估几乎变得不可能。已经捉襟见肘的团队被迫在速度和安全性之间做出选择,使他们的组织面临不必要的风险。”


其他发现


•平均而言,企业每月需要对2169个潜在应用程序安全漏洞的新警报作出反应。


•77%的首席信息安全官表示,大多数安全警报和漏洞都是误报,不需要采取行动,因为它们不是实际暴露。


•68%的首席信息安全官表示,由于警报数量庞大,很难根据风险和影响对漏洞进行优先级排序。


•64%的首席信息安全官表示,在代码投入生产之前,开发人员并不总是有时间解决漏洞。


•77%的首席信息安全官表示,安全性跟上现代云本地应用程序环境的唯一方法是用自动化方法取代手动部署、配置和管理。


•28%的首席信息安全官表示,应用程序团队有时会绕过漏洞扫描来加速软件交付。


“随着组织采用DevSecOps,他们还需要为他们的团队提供解决方案,为每个漏洞提供自动、连续和实时的风险和影响分析,跨预生产和生产环境,而不是基于时间点‘快照’,”Greifeneder继续说道。



免责声明

我来说几句

不吐不快,我来说两句
最新评论

还没有人评论哦,抢沙发吧~