云计算威胁报告表明要求一致的DevSecOps
发布时间:2022-06-04 09:00:46 所属栏目:安全 来源:互联网
导读:很多组织为了快速创新而继续做出选择,这会使他们不必要地处于脆弱状态。 根据云计算威胁报告,Unit42的研究确定了基础设施中大约200,000个潜在漏洞作为代码模板。此外,超过43%的云计算数据库未加密。另外40%的云存储服务未激活日志记录。 Chiodi表示,组织
很多组织为了快速创新而继续做出选择,这会使他们不必要地处于脆弱状态。 根据云计算威胁报告,Unit42的研究确定了基础设施中大约200,000个潜在漏洞作为代码模板。此外,超过43%的云计算数据库未加密。另外40%的云存储服务未激活日志记录。 Chiodi表示,组织通常将基础设施实现为代码模板,因为它们可以使开发人员更快地工作。他说,问题不在于基础设施作为代码模板,而在于开发人员匆忙不对模板执行安全性或风险检查,从而在其云计算环境中引入漏洞。 他说,这种对基础设施的错误配置可能会留下网络犯罪分子寻求加密劫持和其他恶意手段的机会。此外,Chiodi说,在云计算环境中禁用日志记录将使捕获此类不良行为者变得更加困难。几乎不可能证明或证明有违规行为。 他说,尽管已经努力向开发人员介绍安全的重要性,但大多数开发人员仍认为,他们的首要任务是尽快推出新功能。Chiodi说:“他们本来可以设计安全性的,但在许多情况下不会发生这种情况。许多组织尚未接受DevSecOps的概念。” Unit42的研究表明,诸如消费者公司之类的前瞻性组织希望以云计算规模运营,为众多用户提供服务,同时保持安全性。Chiodi引用Netflix作为一家这样做的公司是因为它完全集成了开发、安全性和运营。他建议安全团队也应该将基础设施作为代码,以自动将书面安全策略放入代码中。他说:“这样,开发人员创建新的云计算环境时,如果已正确编写安全标准编码,则他们每次使用该模板创建的时间都将相同。”相反,Chiodi说,具有漏洞的模板每次应用都会重复这些漏洞。 (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐