Nya möjligheter kommer alltid med nya utmaningar.
När verksamheter i allt högre grad flyttar sin IT-drift till molnet, och drar nytta av snabbare IT och bättre applikationshantering, ställs de också inför nya säkerhetsproblem.
Det kan handla om allt från skadlig kod och felkonfigureringar till kända sårbarheter som inte åtgärdats och hemliga läckor.
Vem som tar sig an dessa utmaningar är dock en fråga som inte bara enskilda team utan hela IT-samhället måste ställa sig. Historiskt sett har molnsäkerhet varit säkerhetsteamets huvudvärk. Vi ser dock att utvecklare spelar en allt viktigare roll i arbetet med att skydda molnbaserade applikationer. Det är en utveckling som är helt logisk. Varför ska man vänta med att kontrollera säkerheten och uppmärksamma problem efter att programvaran har installerats, när säkerheten kan kontrolleras och åtgärdas från första början.
Detta är en fråga som engagerar utvecklare. De flesta utvecklare är måna om kvaliteten på sin kod och säkerhet är en viktig del av den. I Snyks rapport 2021 State of Cloud Native Application Security, uppgav exempelvis 68 procent av de tillfrågade utvecklarna att antingen utvecklare eller DevOps-/DevSecOps-team har det huvudsakliga ansvaret för säkerheten i deras molnbaserade miljöer och applikationer. Utvecklare är också medvetna om de säkerhetsutmaningar som kommer med molnet. Sex av tio uppger att övergången till molnbaserad teknik ökat deras oro för säkerhetsproblem.
Många säkerhetsproblem har samma grund, men det finns lösningar på problemen
Daniel Berman, Product Marketing Director på Snyk
Felkonfigureringar och kända sårbarheter som inte åtgärdats utgör de största hoten mot verksamheter. 45 procent av utvecklarna uppger också att de varit med om incidenter kopplade till felaktig konfigurering i produktionsmiljöer och 38 procent har rapporterat en känd sårbarhet som inte åtgärdats.
Det finns dock en hel del att göra. Trots att det är en utmaning att skapa helt automatiserade utrullningsprocesser för nya applikationer finns det ett samband mellan verksamheter med hög grad av automatiserad utrullning och säkerhetstestningen de genomför. För verksamheter med en hög grad av automatisering i sin utrullning av kod är sannolikheten mer än dubbelt så hög att de säkerhetstestar i alla avgörande skeden under hela mjukvaruutvecklingen, jämfört med verksamheter utan automatisering.
Automatisering möjliggör inte bara säkerhetstestning i varje skede av utvecklingen, utan möjliggör också en högre testfrekvens, så att sårbarheter kan identifieras på ett tidigare stadie. Återigen fann Snyk att verksamheter med höga nivåer av automatisering i sina utrullningsprocesser var mycket bättre rustade för testning. Nästan 70 procent av de tillfrågade med höga nivåer av automatisering kunde testa sin säkerhet dagligen, eller till och med oftare. Snabbare tester leder också till snabbare åtgärder. För verksamheter med full automatisering är sannolikheten också fyra gånger högre att säkerhetsproblem åtgärdas på en dag och mer än dubbelt så hög att de åtgärdas inom en vecka.
När säkerhetslandskapet förändras och utvecklare får ta en större del av ansvaret kopplat till säkerhet är det också av stor vikt att de får rätt säkerhetsverktyg till sitt förfogande. Utvecklare är viktiga för att skapa säkra molnmiljöer och det visar också vår undersökning. Men medvetenhet och handling är två olika saker. Om utvecklare fullt ut ska växa in i sin säkerhetsroll måste de få den infrastruktur och de verktyg de behöver för att möjliggöra regelbundna tester under hela utvecklingsprocessen.
Daniel Berman, Product Marketing Director på Synk
