在 CNCF安全技术咨询小组(TAG)[1]的帮助下,CNCF 最近对社区进行了一次微调查,以了解组织是如何管理云原生安全的。
总体而言,该报告[2]显示,各组织认识到云原生架构中传统安全与现代安全之间的差异,并看到了现代云原生安全的价值。多达 85%的受访者表示,现代化的安全性对他们组织的云原生部署非常重要。没有人表示不重要。
然而,只有 9%的组织拥有一套完整的文档化的过程,这些过程是为他们的团队自动实现的。因此,虽然组织认识到这些策略的重要性,但是作为一个社区,仍然有很长的路要走,以增加采用和开发工具来减轻实现的负担。
更糟糕的是,12%的组织说他们保护第三方软件的过程和政策是不存在的。许多组织都让自己处于弱势。在这些情况下,员工可能会过度工作,精疲力尽,处理火灾,并在另一个事件发生前赶工。他们不太可能主动提高安全性或在该领域进行创新。
这项微调查收到了超过 125 份回复。
在这里[3]查看微调查的全部结果。该报告包含了更多关于组织最大的担忧、挑战和失误的细节,以及云原生安全的边缘状态。
在发布云原生安全白皮书[4]之后,Security TAG 最近还完成了自己的回顾性调查。
这项回顾性调查收到了 70 多个回应,发现:
根据调查的反馈和社区驱动的讨论,Security TAG 正在进行几项关键工作。
Cloud Native 8[5]是第一次尝试为社区提供关于安全默认值的明确指导。关于这个话题,目前有一个公开评论[6],将于 10 月 31 日结束。
该小组还致力于一个供应链安全参考架构[7],旨在向组织展示如何将云原生项目堆叠起来,以解决一个日益增长的问题:供应链安全。它还推出了第一个版本的云原生安全地图(CNSMap)[8],并开始开发 2.0 版。CNSMap 的目标是提供关于如何保护组织的云原生生态系统的更多可操作的信息。
你可以在这里[9]阅读更多关于回顾性调查结果的信息。
[1]
安全技术咨询小组(TAG): https://github.com/cncf/tag-security
[2]
报告: https://www.cncf.io/wp-content/uploads/2021/10/Cloud-Native-Security-Microsurvey-rev.pdf
[3]
微调查的全部结果: https://www.cncf.io/wp-content/uploads/2021/10/Cloud-Native-Security-Microsurvey-rev.pdf
[4]
云原生安全白皮书: https://github.com/cncf/sig-security/blob/master/security-whitepaper/CNCF_cloud-native-security-whitepaper-Nov2020.pdf
[5]
Cloud Native 8: https://lnkd.in/gkFKsZkb
[6]
公开评论: https://lists.cncf.io/g/cncf-tag-security/message/71
[7]
参考架构: https://github.com/cncf/tag-security/issues/679
[8]
云原生安全地图(CNSMap): https://cnsmap.github.io/
[9]
回顾性调查结果: https://github.com/cncf/surveys/blob/master/security/README.md