《新思科技:一往无前:GitOps与安全左移(28页).pdf》由会员分享,可在线阅读,更多相关《新思科技:一往无前:GitOps与安全左移(28页).pdf(28页珍藏版)》请在三个皮匠报告上搜索。
1、一往无前:GitOps与左移安全性1 2022 TechTarget,Inc.版权所有,保留所有权利。返回目录一往无前:GitOps与安全左移可扩展且以开发者为中心的供应链安全解决方案2022年8月Melinda Marks,ESG高级分析师 2022 TechTarget,Inc.版权所有,保留所有权利。Enterprise Strategy Group|Getting to the bigger truth.一往无前:GitOps与左移安全性2 2022 TechTarget,Inc.All Rights Reserved.Back to Contents本研究旨在:确定企业将安全纳入开发
2、者工作流的程度。洞察哪些类型的解决方案能够最有效地保护软件,同时又不会减慢开发流程。了解企业在速度更快的云原生开发生命周期中面临的挑战。评估买家对供应商解决方案的偏好、解决方案的部署方式、以及这些解决方案如何能够减少团队的工作量。研究目标随着企业开始采用现代软件开发流程,开发人员可以通过将应用部署到云端而快速开发和发布应用。这给安全团队带来了挑战,要求他们必须跟上持续集成/持续部署(CI/CD)周期及其动态组件的增长和速度。虽然业界一直在讨论通过安全左移来帮助解决问题,实现安全能力的扩展和和应用程序的快速开发,但企业在将其付诸实践时面临着挑战。大多数云原生安全事件都是由不当配置引起的,这给安全
3、团队带来了很大的压力,迫使他们寻找将安全性纳入开发流程的方法,以便在部署之前发现并修复编码问题。企业还需要聚焦于寻找与开发团队更好的协作方式,从而快速修复检测到的任何安全问题。为了洞察这些趋势,ESG对来自北美(美国和加拿大)中型企业(100至999名员工)和大企业(1,000名或更多员工)中负责评估、购买和使用以开发者为中心的安全产品的350名IT(30%)和网络安全(40%)决策者以及应用开发人员(30%)进行了调研。一往无前:GitOps与左移安全性 2022 TechTarget,Inc.All Rights Reserved.目录点击查看4.现代应用开发提升了速度,也加剧了安全风险1
4、7.安全必须在不中断运行的情况下融入到开发流程中9.安全需要纳入开发流程21.企业已经开始将监控和安全测试纳入开发流程,以降低风险13.云原生网络安全威胁形势越来越严峻24.企业已经开始在开发流程安全方面投资现代应用开发提升了速度,也加剧了安全风险一往无前:GitOps与左移安全性5 2022 TechTarget,Inc.版权所有,保留所有权利。返回目录受访者认识到,OSS组件在应用开发中的使用日益广泛。事实上,80%的受访企业指出,他们在编写云原生应用时使用了开源软件。开发者通过在应用开发中使用现成的开源代码来节省时间,从而能够腾出更多时间为软件的独特功能构建定制代码;但他们必须确保这种做
5、法不会引入安全风险,这一点非常重要。鉴于开源软件是由强大的云原生开发社区以及共享和贡献代码的供应商提供的,因此,OSS在软件代码成分中占比很高也就不足为奇了。开源软件(OSS)日益普及 OSS在代码组成中的占比。开源软件在云原生应用中的使用情况。我们目前正在使用开源软件80%我们计划在未来12个月内使用开源软件19%另有1%的受访者对使用开源软件感兴趣。80%的受访企业指出,他们在编写云原生应用时使用了开源软件。8 IN 103%42%49%6%Less than 25%25%to 50%51%and 75%More than 75%一往无前:GitOps与左移安全性6 2022 TechTa
6、rget,Inc.版权所有,保留所有权利。返回目录虽然使用开源软件(OSS)可以节省开发人员的时间,但企业也很担心其安全隐患。黑客热衷于寻找常用的开源软件(OSS)的漏洞,因为一旦找到它们的弱点,攻击者便可以对使用它们的任何公司发动攻击。因此,企业寻找各种办法来确保全面了解其使用的开源组件(OSS),并能够在发现漏洞时快速做出响应。使用开源软件的主要安全隐患 开源软件的挑战和担忧拥有高比例的开源应用代码54%了解代码组成并生成软件材料清单39%成为黑客攻击大众化/常用开源软件的受害者41%迅速使用新发布的补丁39%信任代码来源40%快速修复漏洞38%识别出代码中的漏洞39%企业寻找各种办法来全
7、面了解其OSS组件,并能够在发现漏洞时快速做出响应。”“-Melinda Marks,ESG高级分析师一往无前:GitOps与左移安全性7 2022 TechTarget,Inc.版权所有,保留所有权利。返回目录基础架构即代码(IaC)使开发人员能够配置自己的基础架构,不必等待IT或运营团队为其进行配置。他们通常使用模板中的代码,以声明方式来编写所需的云基础架构,用于管理网络、计算服务和存储等资源。超过三分之二(69%)的受访企业目前正在使用IaC模板来配置云基础架构,另有27%的受访企业计划在未来12个月内采取这种做法。虽然目前的使用率不高,但61%的受访企业预计,他们会在未来两年内对超过一
8、半的云原生应用使用IaC模板。基础架构即代码的使用量日益增加 IaC模板的使用情况我们目前正在使用IaC模板来配置云基础架构69%27%另有4%的受访企业对使用IaC模板感兴趣我们计划在未来12个月内使用IaC模板的受访企业预计他们会对超过一半的云原生应用使用IaC模板。未来两年内,61%4%36%41%16%2%0%7%30%46%15%0%(i.e.,none)1%to 25%26%to 50%51%to 75%More than 75%正在使用IaC模板的云原生应用的百分比将在未来12-24个月内使用IaC模板的云原生应用的占比一往无前:GitOps与左移安全性8 2022 TechTa
9、rget,Inc.版权所有,保留所有权利。返回目录的受访者表示,他们因使用IaC而导致不当配置有所增加。83%IaC模板导致不当配置增加而产生的影响随着开发人员越来越多地使用IaC,出错的几率也越来越大。错误配置可能导致无法检测到编码问题,但由于编码控制着资源访问,因此,错误配置可能会带来严重后果。大多数(83%)的受访者表示,使用IaC导致不当配置有所增加,给他们带来了一系列不良后果,包括未经授权访问应用和数据、引入恶意软件、影响服务水平和数据丢失等。与IaC使用相关的不当配置和突发事件21%35%38%38%41%43%46%未经授权访问应用和数据引入加密劫持恶意软件来挖掘加密货币补救措施
10、影响了服务水平协议(SLA)因不遵守行业法规而被处罚引入恶意软件引入勒索软件数据丢失一往无前:GitOps与左移安全性9 2022 TechTarget,Inc.版权所有,保留所有权利。返回目录安全需要融入开发流程一往无前:GitOps与左移安全性10 2022 TechTarget,Inc.版权所有,保留所有权利。返回目录定义敏捷软件开发过程中的网络安全用户故事未来24个月内,安全即代码将成为一种高度相关的网络安全方法安全即代码我的网络安全团队缺乏足够数量的安全分析人员具备实施“安全即代码”的能力GitOps恢复到以前的配置安全即代码目前还不够成熟,无法纳入我们的网络安全计划63%72%59
11、%56%55%51%企业正在努力将安全流程纳入到软件开发中,从而不会因为发布周期的缩短而面临无法控制的安全风险,例如敏捷软件开发流程、安全即代码(SaC)和GitOps中的网络安全用户故事。尽管只有59%的受访者表示他们已经实施了SaC,但受访者认为,这种方法在未来两年内将成为一种高度流行的网络安全方法。尽管大多数受访者都认可采用SaC带来的效果,但鉴于其成熟度和持续的网络安全技能短缺,企业仍然无法确定其如何实施,或者说如何跨项目和团队进行实施。将安全纳入开发流程 当前用于保护云原生应用的安全流程 受访者对安全即代码的看法一往无前:GitOps与左移安全性11 2022 TechTarget,
12、Inc.版权所有,保留所有权利。返回目录开发人员通常将机密信息(即包含密码、API密钥和令牌的凭据)硬编码到代码中,以便于使用。据调查,85%的企业已经开始通过扫描Git存储库来查找并找到了大量的机密。扫描显然是一种不错的做法,但不能保证机密信息得到保护。风险的降低取决于安全团队能否确保采取补救措施。事实上,虽然大多数企业都会通过扫描Git存储库来查找机密信息,但近三分之一(31%)的受访者表示,这个源代码存储库发生过机密信息窃取事件。Git存储库中的机密信息扫描 通过Git存储库扫描获得的机密信息估值的受访企业表示,这个源代码存储库在过去12个月内发生过机密信息窃取事件。31%85%我们目前
13、通过扫描Git存储库来发现有风险的机密信息3%27%35%24%11%Fewer than 1010 to 5051 to 100101 to 1,000More than 1,000一往无前:GitOps与左移安全性12 2022 TechTarget,Inc.版权所有,保留所有权利。返回目录随着安全团队努力将安全纳入开发流程,为了能够与CI/CD的发布速度和数量保持同步,他们需要应对诸多挑战。据调查,最严峻的挑战是未经安全检查和测试的软件发布(45%)以及开发过程中缺乏安全可视性和控制(43%)。此外,近三分之二的受访企业拥有超过50个Git存储库,这进一步加剧了这些挑战。加快开发周期的同
14、时落地应用安全实践的挑战65%的受访企业拥有超过50个Git存储库。CI/CD开发周期缩短带来的安全挑战29%32%34%35%36%43%45%Security team cant keep pace with release cadences Security lacks visibility and control in未经安全检查和/或测试的软件发布开发过程中缺乏安全可视性和控制涉及不同开发团队的安全流程缺乏一致性新版本部署到生产环境时存在配置错误、漏洞和其他安全问题安全团队无法跟上发布节奏开发人员跳过安全流程开发人员不想参与安全事务一往无前:GitOps与左移安全性13 2022 T
15、echTarget,Inc.版权所有,保留所有权利。返回目录云原生网络安全威胁形势越来越严峻一往无前:GitOps与左移安全性14 2022 TechTarget,Inc.版权所有,保留所有权利。返回目录 2022 TechTarget,Inc.All Rights Reserved.Back to Contents 云原生应用栈中最容易受到攻击的元素受访企业对其认为最容易受到攻击的软件栈和工具链中的元素进行了评级。API首当其冲,其次是数据存储库和内部开发的应用源代码。绝大多数受访者都表示,内部开发的云原生应用可能给公司带来各种相关的安全事件和后果。据受访者表示,最常见的三类事件涉及API的
16、不安全使用、代码漏洞和受损的账户凭据,这恰好与两个最易受到攻击的软件栈元素相一致。最容易受到攻击的云原生元素与近期发生的安全事件一致24%25%27%31%32%34%38%42%45%API是最容易受到攻击的元素,其次是数据存储库和内部开发的应用源代码。”“应用编程接口 数据存储库内部开发的应用源代码 应用容器镜像 开源软件(OSS)源代码存储库 CI/CD 管道工具 无服务器功能 第三方库一往无前:GitOps与左移安全性15 2022 TechTarget,Inc.版权所有,保留所有权利。返回目录 云原生应用导致的网络安全事件38%28%27%34%37%33%35%26%31%由于AP
17、I的不安全使用而导致数据丢失的攻击利用开源软件中以前未知的新漏洞进行的“零日”漏洞利用攻击利用内部开发代码中以前未知的新漏洞进行的“零日”漏洞利用攻击利用开源软件中已知漏洞的漏洞利用攻击利用内部开发代码中的已知漏洞的漏洞利用攻击利用配置不当的云服务的漏洞利用攻击受损的服务账户凭据受损的特权用户凭据从源代码存储库中窃取的机密信息一往无前:GitOps与左移安全性16 2022 TechTarget,Inc.版权所有,保留所有权利。返回目录 企业因受到近期软件供应链攻击影响而采取的十大措施为了消除顾虑,防止云原生应用攻击事件真正发生,企业应尽量采取先发制人的措施来控制这些问题。事实上,受到近期软件
18、供应链攻击的影响,近四分之三(73%)的受访企业显著加大了对开源软件、容器镜像和第三方软件组件的保护力度。企业正在积极采取广泛的措施来降低与这些攻击相关的风险。在备受关注的攻击事件之后,企业加强对软件供应链安全的措施26%26%29%29%30%30%30%32%33%33%的受访企业表示,受到近期软件供应链攻击的影响,他们显著加大了对开源软件、容器镜像和第三方软件组件的保护力度73%采用某种形式的强身份验证技术,例如用于访问开发环境和源代码存储库的多因素身份验证(MFA)增强高管对安全开发实践的可视性投资于应用安全测试措施对当前的安全措施进行评估,以确定其能否阻止/检测到类似类型的攻击改进资
19、产发现流程,以更新攻击面清单加快安全问题扫描软件的更新速度对安全措施和/或安全分析系统添加新的检测规则加大软件供应链供应商的问卷调查/审核力度定期进行软件组成分析开展渗透测试或红队演习,以测试安全措施一往无前:GitOps与左移安全性17 2022 TechTarget,Inc.版权所有,保留所有权利。返回目录安全必须在不中断运行的情况下融入到开发流程中一往无前:GitOps与左移安全性18 2022 TechTarget,Inc.版权所有,保留所有权利。返回目录大多数企业都优先考虑以开发者为中心的安全解决方案,甚至将一些安全责任转移给开发人员,因为这是他们实现扩展的唯一方式。事实上,几乎所有
20、的受访者都表示这很重要,超过三分之二(68%)的受访者将其视为重中之重。尽管36%的受访企业表示他们完全接受将安全责任转移给开发人员,但大多数受访企业(49%)对此表示基本接受,另有部分受访企业(15%)对此表示不太接受。企业通过左移进行扩展 企业对采用以开发者为中心的安全策略的重视程度 安全团队对企业采用以开发者为中心的安全策略的接受程度这是重中之重(即,它将对我们的安全计划产生重大影响)这很重要,但不是重中之重(即,我们有更重要的安全及/或应用开发项目)68%31%另有1%的受访企业表示,这根本不重要(即不将责任转移给开发人员,照样可以做好安全工作)不太接受,15%基本接受,49%完全接受
21、,36%一往无前:GitOps与左移安全性19 2022 TechTarget,Inc.版权所有,保留所有权利。返回目录 让开发人员接管更多安全责任存在的挑战 让开发人员更多地参与安全活动和流程虽然优势明显,但也有一些障碍需要克服。调查显示,在开发人员承担更多的安全任务方面,最大的挑战包括开发人员负担过重(44%)或没有资格接管安全责任(42%),以及这些努力最终将加重网络安全团队的工作负担(43%)。将安全责任转移给开发人员的挑战 这种做法虽然优势明显但也有一些障碍需要克服。”“2%29%30%31%36%42%43%44%Loss of control over what the deve
22、lopers do(or dont do)开发人员或因安全责任或工具而负担过重整个流程将加重安全团队的工作负担开发人员没有资格承担安全责任这可能会威胁到安全工作企业失去对开发人员工作的控制(做什么,没做什么)企业失去对开发人员工作的可视性(做什么,没做什么)无法一致地部署开发者安全工具或流程我们没有任何挑战一往无前:GitOps与左移安全性20 2022 TechTarget,Inc.版权所有,保留所有权利。返回目录从开发人员的角度来看,大多数受访者完全(38%)或基本(45%)愿意承担更多的安全责任。对于不完全接受这种左移策略的开发人员来说,他们主要担心执行安全任务会导致开发流程中断,并且他
23、们认为安全团队应保持对安全生态系统的完全自主控制。开发人员面临的挑战 开发人员对进一步参与安全事务的接受程度 开发人员对承担安全责任不能完全接受的原因23%24%25%30%38%39%44%46%They dont like the security tools that have been 不接受,1%不太接受,17%完全接受,38%基本接受,45%他们认为执行安全任务会中断开发流程他们认为安全责任应由安全团队承担他们面临着安全和开发团队优先级不一致的组织挑战他们希望将时间花在产品代码开发上他们不想使用单独的安全工具他们没有安全背景他们不喜欢企业推荐或购买的安全工具他们不想学习安全知识一往
24、无前:GitOps与左移安全性21 2022 TechTarget,Inc.版权所有,保留所有权利。返回目录企业已经开始将监控和安全测试融入 开发流程,以降低风险一往无前:GitOps与左移安全性22 2022 TechTarget,Inc.版权所有,保留所有权利。返回目录尽管仍有44%的企业依赖单独的安全工具进行测试,但已有超过一半(56%)的企业开始使用可以集成到开发者工具中的安全工具。为了提高开发人员的接受度,企业应寻找可以融入开发人员工作流的安全工具,从而无需切换上下文即可修复编码问题。企业致力于将监控解决方案与以开发者为中心的安全工具相集成,以加快修复速度。这是一种很好的做法,可确保
25、有效修复运行时发现的安全问题,无需安全和开发团队花费太多时间。成功集成后,开发人员将能够有效地修复问题,而无需安全团队提供帮助。开发人员工作流之外的安全工具安全监控工具与开发流程的集成 安全工具在开发人员工具和工作流中的工作方式 云安全监控解决方案与开发流程之间的集成水平开发人员不必使用任何单独的工具(即他们通过当前的工作流和工具获得通知)开发人员必须使用单独的安全工具来执行安全测试56%44%100%0%41%44%15%when an issue is found,there is an remediation and/or the developer can when an issue
26、is found,the monitoring tool can deliver information to the developer when the monitoring tools find an issue,there is work involved to determine who can make 良好集成 当发现问题时,开发人员可以选择自动修复和/或立即手动修复部分集成 当发现问题时,监控工具可将信息传递给相关开发人员,以促进修复不集成 当监控工具发现问题时,开发人员需要确定谁可以修正代码以修复问题一往无前:GitOps与左移安全性23 2022 TechTarget,In
27、c.版权所有,保留所有权利。返回目录企业采用多种工具,作为以开发者为中心的新兴安全战略的一部分,包括使用第三方渗透测试工具或咨询服务来帮助确保应用安全。虽然安全团队试图将安全测试责任左移至开发人员,但他们在此过程中面临诸多挑战,主要包括如何获得所需的可视性和控制权来确保顺利完成测试,以及开发人员如何在不中断开发流程的情况下对安全测试做出必要的调整。将安全测试融入开发流程的主要挑战 使用第三方渗透测试解决方案或咨询服务来确保云原生应用的安全性 开发团队的安全测试挑战An additional 1%said they don t use these services.71%27%是,对于所有应用是
28、,但仅限关键业务应用,35%36%36%36%37%38%40%42%Finding the right tools that developers will use获得对已完成的安全测试的可视性确保安全流程不会减慢开发速度 管理和监控开发人员对开源安全工具的使用 确保整个开发团队流程和工具的一致性 为开发人员部署安全工具 寻找开发人员所需的适当工具 确保测试顺利完成 开发人员忽略安全警报 一往无前:GitOps与左移安全性24 2022 TechTarget,Inc.版权所有,保留所有权利。返回目录企业已经开始投资安全开发流程一往无前:GitOps与左移安全性25 2022 TechTarg
29、et,Inc.版权所有,保留所有权利。返回目录 旨在保护云原生软件开发流程的十大重点投资领域 投资可以集成到云原生软件开发流程中的安全解决方案的计划展望未来,超过三分之二(69%)的受访企业计划对可以集成到云原生软件开发流程中的安全解决方案进行重大投资。就这些投资的方向而言,超过三分之一(34%)的受访企业表示,其投资重点是改进应用安全测试;31%的受访企业表示,其投资重点是检测存储在源代码存储库中的机密信息和/或应用运行时API的安全措施。企业已经开始在安全开发流程方面投资69%31%我们预计将 进行重大投资我们预计将 进行适度投资28%28%29%29%30%30%30%31%31%34%
30、Remediating software vulnerabilities before deployment to改进应用安全测试检测已提交并存储在源代码存储库中的机密信息对运行时 API采取的安全措施在部署到生产环境之前识别软件漏洞查找和检查源代码中的API在部署到生产环境之前修复恶意软件扫描开源代码组件和第三方库在部署到生产环境之前修复软件漏洞扫描生产环境中的不当配置在部署到生产环境之前识别恶意软件一往无前:GitOps与左移安全性26 2022 TechTarget,Inc.版权所有,保留所有权利。返回目录新思科技帮助开发团队构建安全的高质量软件,最大限度降低风险,同时提高速度和生产力。
31、新思科技是应用安全领域公认的领导者,致力于提供静态分析、软件组成分析和动态分析解决方案,助力团队快速发现和修复专有代码、开源组件和应用中的漏洞和缺陷。关于ESGEnterprise Strategy Group是一家综合性的技术分析、研究和战略公司,致力于为全球技术社区提供市场情报、可行的洞察和上市内容服务。了解更多信息一往无前:GitOps与左移安全性27 2022 TechTarget,Inc.版权所有,保留所有权利。返回目录研究方法为了收集本报告的数据,ESG在2022年5月18日至2022年6月10日期间对北美私营和公有企业的IT和网络安全专业人员以及应用开发人员进行了全面的在线调查。
32、参与该项调查的受访者必须是负责评估、购买和使用以开发者为中心的安全产品的人员。完成调查的所有受访者均可获得现金和/或现金等价物形式的奖励。在过滤掉不合格的受访者,去除重复的回答,并根据若干标准对剩余的已完成的回答进行筛选以保证数据完整性后,我们最终得到了350名IT、网络安全和应用开发专业人员的回答样本。按公司员工数量划分的受访者饼图按公司年龄划分的受访者饼图按行业划分的受访者饼图Fewer than 500,10%500 to 999,23%1,000 to 2,499,35%2,500 to 4,999,14%5,000 to 9,999,13%10,000 to 19,999,3%20,
33、000 or more,1%Less than 5 years,3%5 to 10 years,44%11 to 20 years,44%21 to 50 years,7%More than 50 years,2%Financial,22%Manufacturing,18%Retail/wholesale,16%Technology,10%Communications and media,9%Healthcare,9%Business services,5%Government,1%Other,11%本出版物中包含的所有产品名称、徽标、品牌和商标均为其各自所有者的财产。本出版物中包含的信息取自
34、TechTarget,Inc.认为可靠的来源,但TechTarget,Inc.不提供任何保证。本出版物中可能包含TechTarget,Inc.的意见,这些意见可能会发生变化。本出版物中可能包含代表TechTarget,Inc.根据当前可用信息做出的假设和预测的预期、推测和其他预测性陈述。这些预测基于行业趋势,涉及到各种变量和不确定性。因此,TechTarget,Inc.对本出版物中包含的特定预期、推测或预测性陈述的准确性不作任何保证。本出版物的版权归TechTarget,Inc.所有。未经TechTarget,Inc.明确同意而将本出版物的全部或部分内容以硬拷贝、电子或其他形式复制或重新分发给任何未经授权人员,均属违反美国版权法,将面临民事损害赔偿诉讼或(如适用)刑事诉讼。如有任何疑问,请致函cresg-,与客户关系部联系。Enterprise Strategy Group是一家综合性的技术分析、研究和战略公司,致力于为全球技术社区提供市场情报、可行的洞察和上市内容服务。2022 TechTarget,Inc.版权所有,保留所有权利。