云安全：当今网络攻击的重要战场

重要要点

• 云计算已成为网络攻击的主要战场，数据泄露的成本达到了历史新高。
• 2022年云漏洞攻击增加了95%，开发运维（DevOps）团队的安全实践变得更加重要。
• 安全检查与测试的自动化可以提升开发效率，并降低风险。
• 需要在团队之间共享安全知识，确保每个环节都重视安全。

当今，云计算已成为网络攻击的主要战场，数据泄露的平均成本已攀升至450万美元。根据的研究，2022年，云漏洞攻击增加了95%，这使得对云端安全的关注显得尤为重要。特别是对于开发运维（DevOps）团队来说，构建安全性已成为当务之急。

尽管安全团队对风险的防护负有责任，但他们无法单靠自身承担所有风险。各团队必须努力向其他团队解释自己在开发生命周期中所扮演的重要角色。随着的普及以及对快速应用交付（CI/CD）的需求增加，容器的使用率显著提升。企业在采用容器化、无服务器技术以及基于云的服务时，也带来了更复杂的安全问题。

开发人员必须在速度与安全之间找到微妙的平衡。传统上，DevOps团队会在开发后再考虑安全性，但这种做法正在发生变化。现在，开发者们正在使用“左移”技术，确保存在安全漏洞的代码不会被放入生产环境中，从而让他们能够提前识别并解决问题。

在每个开发阶段都考虑安全，可以确保开发者在早期发现并解决问题，从而降低后期修复的成本。DevSecOps使开发者能够在应用开发过程中更早地发现和修复漏洞。通过自动化测试、修复和交付，
确保了更强的软件安全性，而不会拖慢开发周期。这种方法旨在将安全性融入软件开发流程，而不是在运行时处理更多问题。

以下是五种在确保安全和效率的同时开发应用程序的方法：

方法 | 描述
—|—
自动化安全审查与测试 | 每个DevSecOps流程应使用静态应用程序安全测试（SAST）、软件成分分析（SCA）、容器扫描、安全状态管理（ASPM）等工具与技术。一个优秀的自动化产品将提供广泛的可见性，及时解决问题。
与开发者工具链整合 | 简化和整合工具链，让开发者和安全团队能专注于一个统一的界面与真实信息。安全与应用开发的整合越紧密，团队越能早期识别威胁并加速交付。
在团队间共享安全知识 | 虽然DevSecOps是通过技术驱动的旅程，但其实它更像是一个以人为本的过程。DevSecOps团队应分享经验教训与补救步骤，并引入安全倡导者。
评估组织的安全态势 | 识别软件开发的痛点与安全风险，制定合适的计划并推动实施。追踪和衡量成果，以便更早识别和解决问题。
同时左移和右移 | 仅凭检测无法保证安全。应利用应用安全状态管理（ASPM）评估生产中的应用程序安全，确保能及时发现潜在的漏洞。

随着安全与开发之间的界限日益模糊，安全性正逐渐融入开发者的日常工作中。这一现代化的实践促使公司各个部门朝着共同目标前进，从而推动商业增长。DevSecOps要求团队之间的合作，同时帮助组织向客户交付更安全的应用。

不要将安全视为通向组织商业目标的一块绊脚石，或者认为它“拖慢”了软件开发的速度。真正的目标是帮助企业以最低风险安全地实现商业目标。

Raj Rajamani，CrowdStrike首席产品官