根据CrowdStrike的一项调查研究，2023年十大数据泄露事件中，有八起是由应用程序攻击面遭受攻击所导致的。这可以看出，攻击者正将焦点从传统的基础设施配置转移到脆弱的应用程序和API中。

该研究调查了美国不同行业的400名安全专业人士，发现仅八起泄露事件就暴露了大约17亿条记录。

随着企业在保障基础设施安全方面的日益成熟，他们开始利用云安全态势管理（CSPM）等工具来作为抵御攻击的第一道防线。相应地，攻击者也正在向更新、更易受攻击的目标转移，或者说选择防御力较弱的路径——应用程序。

CrowdStrike的调查发现复杂的代码架构和不充分的安全审查增加了应用程序的攻击面。

调查发现，随着应用程序数量、开发团队数量以及部署频率的增加，组织内所使用编程语言的数量也达到了顶峰，这增加了安全工作的负担。

Java、JavaScript、Python和C++是2023年云原生应用程序编程语言中部署频率最高的，同时也逐渐有其他语言相继加入。

每隔几年就会出现新的语言，这无疑增加了复杂性。例如，Golang和Rust在过去两到三年中迅速流行起来。用于安全审查和发现应用程序漏洞的工具却往往无法立即适应新的编程语言，它们通常需要一段时间才能跟上其发展的步伐。

不论使用何种编程语言，文档管理总是个棘手的问题。尽管71%的机构表示他们至少每周更新一次应用程序，但大多数团队依然依赖于手动文档（占74%）和电子表格（占68%）来管理和记录他们的应用及API。这种对手动操作的过分依赖增加了错误发生的概率。同时，企业对安全审查的关注度也远远不足。

调查受访者估计，平均而言只有54%的主要代码更改在部署到生产环境之前进行了完整的安全审查，且仅有22%的受访者审查了24%或更少的代码更改。但这并不足为奇。

云计算、容器和DevOps工等具已经赋予了产品开发团队更频繁部署的能力。目前，许多团队能够达到每月、每周、每日乃至每小时一次的发布频率。考虑到与开发人员相比，安全专业人员的数量有限，安全团队手动审查所有的代码变更是不现实的。为了实现安全的可扩展性，组织需要实施DevSecOps解决方案，通过自动化来进行安全验证并将其融入到开发人员的日常工作流程及CI/CD流程中。这样，开发人员可以在他们的IDE（集成开发环境）或通过代码提交请求，来实时获得关于代码更改如何影响应用安全状况的反馈。这一过程确保开发人员能够在代码并入更广泛的应用之前，及时纠正所有安全问题。”

研究指出，对于81%的调查参与者来说，完成安全审查至少需要一个工作日，而35%的受访者则表示他们的审查时间通常会超过三天。这种情况是由于安全团队接收的告警变得更加复杂、频繁所致。

在检测和对漏洞及威胁进行优先级排序方面，没有任何一个工具能够脱颖而出，90%的受访者表示会使用三个或更多的工具来完成这项任务。

对于61%的受访者来说，优先级排序是前三大挑战之一，而22%的人表示，决定首先修复什么是他们面临的最大障碍。

目前，优先级排序面临着众多挑战，使得任务变得更加艰难。这包括过多的告警（由37%的调查参与者指出）、过多的工具（31%表示）以及多个工具间告警关联的不足（55%反映）。这些数据强调了寻找一个平衡点的必要性。

归根到底，这关乎着两个方面：效力和效率。选定的工具必须有效，即在发现安全漏洞方面要有成效，但同等重要的是发现这一过程的速度。每个组织必须决定，其所需的效力和效率是依赖单一工具集还是多种不同工具的组合。

有时候，挑战并不在于技术本身，而是企业对修改现有流程以适应安全活动所需时间的博弈。

* 本文为茉泠编译，图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。