译者|布加迪评论|孙淑娟安全左移的热潮让开发者及早发现并修复漏洞。当一个应用程序被部署到生产环境时,它可以尽可能地避免当时已知的漏洞……但安全转移只是一个开始。漏洞出现在已经部署和运行的软件组件中。从开发环境到生产环境,组织需要一种全面的规避方法。虽然没有通用的方法来实现端到端的安全性,但有几种有价值的策略可以帮助您实现这一目标。全面的端到端云原生安全策略具有三个“P”,有助于全面缩小安全漏洞。持久性(Production-centric)确定优先级(Prioritization)持久性新的漏洞层出不穷,随时可能出现。发现漏洞所需的时间可能从数小时到数年不等。GitHub平均需要四年时间才能发现软件包中的安全漏洞,另外需要14周才能开发和分发修复程序。漏洞发现的时间跨度非常大,需要不断扫描、监控和分析,需要警惕和毅力。即使使用最好的漏洞扫描工具,您也应该了解左移扫描无法检测到所有内容,因为它只能提供特定时间点的安全洞察。即使相同的代码在今天被认为是安全的,也不能保证将来不会有漏洞。在整个CI/CD生命周期中持续扫描和检测的安全团队能够有效地修复威胁。向左以生产为中心的转变可以帮助组织在开发应用程序时考虑到安全性。但是,无论您对离开开发环境的应用程序的安全性有多大信心,都无法保证它在生产环境中仍会保持安全。我们经常看到部署到生产环境后往往会暴露漏洞。ApacheStruts、Heartbleed和最近于2013年首次发布但直到去年才被发现的Log4j就是其中几个例子。此外,生产环境不仅包含您部署的代码,还包含以下内容:从外部存储库中提取的容器映像。部署软件时,安装运行时sidecar和集成工具。第三方应用程序,例如应用程序服务器、仪表板、代理和防火墙,它们的部署没有像您的代码那样进行严格的检查。不受DevOps团队控制且无法通过左移工具扫描的基础架构。确定生产中应用程序的上下文是保护云原生应用程序的重要部分。还有哪些其他组件、代码和基础架构与该应用程序交互?您需要不同的理念和额外的工具集来完全弥合安全漏洞。优先扫描生产系统中的漏洞可能会发现数百或数千个易受攻击的组件,但检测到的漏洞不一定与高风险威胁相关联,因为漏洞与可利用性不同。为了更好地了解漏洞带来的风险,有必要了解漏洞在应用程序上下文中的位置。能否以特定方式使用应用程序来利用漏洞?易受攻击的应用程序是否可以从外部攻击面访问,或者潜在的攻击者是否需要在访问它之前获得一定程度的内部控制?通过识别最严重的漏洞,您可以确定修复工作的优先级。团队可以从成百上千个潜在漏洞中过滤良性问题(以及他们提出的所有警报),优先处理目前对您的安全构成最大风险的极少数高破坏漏洞。即使是人手不足的小型团队也可以通过关注利用风险并根据严重程度对补救工作进行优先排序,从而有效地保护大量云原生应用程序。结论综上所述,安全左移是一种非常值得实践的做法,但仅靠它是不够的。坚持不懈,专注于生产环境,并优先考虑真正对您的组织构成风险的一小部分漏洞,您可以更有信心地管理组织的安全状况。原标题:Understandthe3P'sofCloudNativeSecurity,作者:OwenGarrett
