弥合安全与开发人员之间的差距

无论你需要什么，总有一款应用可以满足你的需要。事实上，根据BusinessofApps的数据，到2024年，苹果应用商店中的应用数量将达到181万个。随着软件即服务(SaaS)和云计算的采用越来越多，这种日益增长的趋势已经从我们的口袋蔓延到我们的企业。平均每家公司拥有371个SaaS应用，而IDC发现，2023年上半年，各公司在公共云服务上的支出为3155亿美元。

所有这些软件和应用程序都是由人类开发的，而众所周知，人是会犯错的。软件开发中的错误会增加受到攻击的可能性，从而导致安全事故。将这些风险乘以技术堆栈的规模，保证环境安全似乎几乎是不可能的。

为了减轻一些风险和安全负担，请在软件开发过程中尽早发现问题。这被称为“左移”概念，因为它涉及在软件开发生命周期(SDLC)的早期运行安全扫描和审查。在持续集成/持续部署(CI/CD)管道中扫描软件会在问题变得容易受到攻击之前标记出需要注意的问题。通过尽早发现错误、错误配置或漏洞，您还可以更快地修复它们，并且成本比这些问题在生产应用程序中运行或作为部署到数千或数百万实际资产的软件的一部分时更低。

尽管在过去几年中，左移安全概念一直被讨论为最佳实践，但似乎并没有得到很好的实施。Sysdig2024云原生安全和使用报告的数据发现，生产系统上的扫描比CI/CD构建管道中的扫描失败的频率更高。该报告发现91%的生产扫描策略失败，而CI/CD扫描失败率为71%。CI/CD扫描在生产运行时扫描之前进行，因此在运行时扫描之前，应纠正在CI/CD构建管道中捕获的任何故障。那么，如果左移概念是最佳实践，为什么我们在运行时会看到如此高的失败率呢?