企业更多的将应用程序托管在云中 迫切需要结构、工具来确保软件开发安全

随着企业越来越多地将应用程序托管在云中，利用API(应用程序编程接口)来加快开发速度，它们迫切需要更多的结构、流程和工具来确保软件开发的安全。

Radware和Osterman Research对全球200名应用基础设施和数据安全专业人士进行了一项新的调查，调查结果显示，多数人对应用程序安全面临的诸多挑战表示担忧。不到一半的人说他们已经成功地将安全性集成到持续迭代/持续交付管道中，而同样数量的人表示“强烈”同意安全工作不应该中断应用程序的发布周期。

这个结果在很大程度上符合这样一个现实，即大多数企业不是将信息安全视为最终目标，更看重的是其对业务目标的影响。

去年12月，Forrester Research的首席分析师Sandy Carielli指出，对于大多数开发团队来说，“目标是迅速将产品送到客户手中”，安全性则是次要的。

Carielli在2020年12月15日举行的应用程序安全web活动上说：“从开发团队的角度来看，他们希想要的是有助于加速开发的工具和流程，这意味着他们需要更多的开源代码、更多的自动化和更快的发布周期。软件和应用程序是将产品推向市场的关键部分，它们也是攻击者的一种手段。”

企业将不得不重新评估保护其应用程序和代码的意义：70%的生产应用程序现在托管在私有或公共云中。然而，对于正在开发的软件来说，情况恰恰相反：近70%的软件是在内部数据中心或由组织控制的私有云中构建的。

这种转变带来了一场熟悉的、似乎永恒的关于云信任和安全的辩论的回归。超过四分之一的受访者表示，他们完全信任自己的云提供商来保护应用程序和数据，而许多组织称，他们对如何将安全原则应用于公共云的理解实际上随着迁移系统和资产的增加而变得更糟。

调查显示，至少有10%的人表示，他们不清楚是哪一个实体导致了安全漏洞，而其他人则表示，同样的困惑让他们无法确定自己是否遭受了漏洞。

云计算公司Accurics的首席架构师John Kinsella表示，“开发人员越来越习惯于为云开发，要改变开发习惯需要更高的舒适度。”

Kinsella说：“任何时候，这种开发都是在与生产环境不同的环境下进行的，这就给人们制造了一个混淆的机会。开发人员需要了解应用程序将在其中运行的上下文，安全性需要确保在适当的上下文中执行测试。随着新产品的发布和更新，云服务和API也在频繁变化，要跟上这些服务的发展需要做大量的工作。”

组织还需要克服在软件开发周期中更加依赖API的影响。虽然这些API“易于使用”，并允许在开发过程中在系统之间进行更快的通信，但许多API还使这些应用程序面临一系列基于互联网的威胁。

这显然是安全团队的想法，因为近60%的受访者表示，API安全是他们计划在2021年大力投资的领域。获得对安全事件的可见性、打击API滥用以及更好的跨平台策略一致性都被列为所需的能力。每七个受访者中就有一个表示“无法控制哪些第三方服务正在处理他们的敏感数据”，他们甚至无法了解哪些应用正在这样做。

Kinsella说，API是软件开发周期中最主要的攻击载体之一，这既因为它们在云原生应用程序中“无处不在”，也因为它们最容易攻击。

他说：“这意味着开发和安全之间需要建立强有力的伙伴关系，以确保有一个组织内不同应用程序中使用的所有API的完整和最新的清单。API安全解决方案还没有完全成熟，因此组织应寻找供应商或开源工具，除了自动API扫描之外，还可以提供API发现功能。”

Radware调查还有一个发现是，为提高应用程序安全性、自动资源调配和测试、容器化以及安全编排和自动响应(SOAR)等工具而采用的技术最受欢迎。安全和非安全IT人员都认为自动化测试和容器化尤其重要，而像SOAR这样的工具越来越多地被视为不堪重负的安全团队处理新的安全事件和警报的有效方式。也就是说，许多组织在自己的安全环境中仍然面临成熟度问题，这使得更广泛的采用变得困难或不切实际。