Molnbaserade applikationer är mer än bara kod som utvecklare tar fram.
Dagens applikationer inkluderar även så kallad ”Infrastructure as Code” (IaC) vilket styr hur applikationer sätts upp och körs i molnet.
Användningen av IaC möjliggör snabbare, repeterbara distributioner, men med dess användning ökar också bördan för utvecklare att säkra inte bara sin egen kod utan också infrastrukturkonfigurationen.
Enligt vår IaC-rapport är 63 procent av företagen ännu bara i startgroparna när det kommer till att implementera IaC och bara 7 procent av företagen som använder IaC känner att de utnyttjar det till fullo. De företag som genomför automatiserade säkerhetstester på såväl kod som hela sin IaC både hittar och åtgärdar problem snabbare, oftast inom en dag.
Att hitta säkerhetsproblem i applikationer och kod är en sak, men det gäller även att ha en upparbetad process för att åtgärda problemen. Enligt våra siffror hävdar 52 procent att de vanligtvis åtgärdar ett säkerhetsproblem genom att anpassa infrastrukturen istället för att ändra i IaC-källkoden. Detta kan orsaka långsiktiga problem eftersom infrastrukturen och de kodifierade definitionerna som används för att skapa den kommer att börja glida, eller så kommer den modifierade infrastrukturen återställas till sitt felkonfigurerade tillstånd vid nästa distribution. De som valt den här manuella saneringsvägen uppger flera orsaker, bland annat brist på standardisering, kunskap och kommunikation, tillsammans med en önskan att påskynda korrigeringarna så mycket som möjligt.
Ett av hindren för att ändra i IaC-källkoden är att det saknas standardiserad praxis som gäller för hela verksamheten, vilket gör att varje team lämnas att granska IaC efter eget tycke och kunskapsnivå. Förutom de uppenbara riskerna som detta medför, tyder det på en ännu allvarligare brist, nämligen frågan om ansvar. De flesta anser att det är ett gemensamt ansvar inom organisationen, men om de tvingas peka ut en grupp som ansvarig för IaC-säkerheten svarar en majoritet i våra undersökningar att det är utvecklarna och grupperna inom DevOps.
En tydlig och skalbar lösning på IaC-säkerhetsutmaningar är att investera i verktyg och utbildningar för att underlätta för utvecklarna och DevOps-teamen, samt säkerställa att organisationen som helhet har en standardiserad praxis. Siffror från Gartner pekar på potentialen i automatiserade verktyg och förutspår att verksamheter kommer att påskynda sin sanering av sårbarheter i kod med 30 procent med kodförslag tillämpade från automatiska lösningar till år 2025, vilket i sig kommer att halvera tiden som används för att åtgärda buggar.
Av: Jim Armstrong, Product Marketing Senior Director, Container and IaC Security hos Snyk.