失效链接处理 |
云计算开源研发运营安全白皮书(2020年) PDF 下载
本站整理下载:
提取码:cvgo
相关截图:
主要内容:
(一)研发层面安全影响深远,安全左移势在必行
随着信息化的发展,软件应用服务正在潜移默化的改变着生活的
各个方面,渗透到各个行业和领域,软件应用服务的自身安全问题也
愈发成为业界关注的焦点。
全球安全事件频发,代码程序漏洞是关键诱因之一。2017 年,美
国最大的征信机构之一 Equifax 因未能及时修补已知的安全漏洞发
生一起涉及 1.48 亿用户的数据安全、隐私泄露事件,影响几乎一半
的美国人口;国内电商因优惠券漏洞被恶意牟利,酒店、求职等网站
也曾发生数据安全事件,泄露百万级、亿级用户隐私数据。究其原因,
软件应用服务自身安全漏洞被黑客利用攻击是数据安全事件层出不
穷关键因素之一。根据 Verizon 2019 年的研究报告《Data Breach
Investigations Report》,在总计核实的 2013 次数据泄露安全事件
中,超过 30%与 Web 应用程序相关,Web 应用程序威胁漏洞具体指程
序中的代码安全漏洞以及权限设置机制等。Forrester 2019 年发布
的 调 查 报 告 《 Forrester Analytics Global Business
Technographics Security Survey,2019》中显示,在 283 家全球企 业已经确认的外部攻击中,针对软件漏洞以及 Web 应用程序是位于前
两位的,分别占比达到了 40%与 37%,具体数据见图 1,其中软件漏洞
主要指对于安全漏洞的利用攻击,攻击 Web 应用程序主要指基于程序
的 SQL 注入、跨站脚本攻击等。
1
云计算开源产业联盟 研发运营安全白皮书
2
数据来源:Forrester
图 1 Forrester 外部攻击对象统计数据
根据咨询公司 Gartner 统计数据显示,超过 75%的安全攻击发生在代
码应用层面。
已知安全漏洞中,应用程序安全漏洞与 Web 应用程序安全漏洞占
多数。美国国家标准技术研究院(NIST)的统计数据显示 92%的漏洞
属于应用层而非网络层。国家计算机网络应急技术处理协调中心2020
年 4 月的发布的数据显示,2019 年,国家信息安全漏洞共享平台(CNVD)
收录的安全漏洞数量创下历史新高,数量同比增长 14.0%,达到 16193
个,其中应用程序漏洞占比 56.2%,Web 应用程序占比 23.3%,二者相
加占比超过 76%,充分说明安全漏洞大多存在于软件应用服务本身。
传统研发运营安全模式中,安全介入相对滞后。传统研发运营安
全,针对服务应用自身的安全漏洞检测修复,通常是在系统搭建或者
功能模块构建完成之后以及服务应用上线运营之后,安全介入,进行
安全扫描,威胁漏洞修复。如当前的大多数安全手段,防病毒、防火
40%
37%
28%
25%
25%
25%
25%
20%
19%
14%
6%
1%
0% 5% 10% 15% 20% 25% 30% 35% 40% 45%
软件漏洞(漏洞利用)
Web应用程序(SQL注入、跨站脚本…
使用被盗凭证(加密秘钥)
DDoS
水坑攻击
移动恶意软件
利用丢失/被盗资产
DNS
钓鱼
勒索软件
社会工程学
其他
云计算开源产业联盟 研发运营安全白皮书
墙、入侵检测等,都是关注软件交付运行之后的安全问题,属于被动
防御性手段。这种模式便于软件应用服务的快速研发部署,但安全介
入相对滞后,并无法覆盖研发阶段代码层面的安全,安全测试范围相
对有限,安全漏洞修复成本也更大。
安全左移有助于帮助企业削减成本。代码是软件应用服务开发的
最初形态,其缺陷或漏洞是导致安全问题的直接根源,尽早发现源码
缺陷能够大大降低安全问题的修复成本。根据美国国家标准与技术研
究所(NIST)统计,在发布后执行代码修复,其修复成本相当于在设
计阶段执行修复的 30 倍。具体数据如图 2 所示
|