六个常见的开发者安全失败导致云风险 媒体

云安全中的早期控制和常见错误

关键要点

在开发过程中早期和持续地引入安全控制即，左移安全能显著改善企业安全。云安全现如今变得极其复杂，带来了新的风险，攻击者也对旧的战术进行了更新。开发者常犯的安全错误包括社交工程、错误、人为失误、代码中的机密等。安全团队需要假设会发生安全事件，并做好响应准备。

尽管在开发过程中早期进行安全控制的做法在企业安全方面取得了系统性改进，但如今的云安全却成为了一项极其复杂的挑战。云资源的前所未有的规模，加上安全团队对开发者实施安全政策的高度依赖，使得云安全的复杂性成为了其固有特性。

旋风加速官网

尽管大多数云开发者都有安全意识，但即使是最优秀的开发者也难免会出现未曾预见的安全漏洞。以下是开发者常见的一些安全错误：

错误类型描述社交工程攻击者的策略和灵活性让人惊讶，例如最近发现的XZ Utils后门的故事。倦怠/人为错误人们总会犯错，这些错误可能转化为网络风险，例如简单的错字可能造成依赖关系的破坏。代码、文件或磁盘中的机密如果公司某位开发者重复使用密码或密钥而不使用密码库，环境中就会存在暴露的机密。违反系统假设的风险新开发者可能添加新的代码，打破系统原本隐含的假设，从而导致系统安全漏洞。缺乏细粒度访问控制尽管细粒度访问控制是一大安全优势，维护和更新它们常常是一项艰巨的任务。AI辅助生成代码带来的风险随着开发者对AI生成助手如Copilot的依赖增加，出现了一种新威胁：流氓AI。

展望未来，安全领导者必须假设会发生安全事件，并准备好响应。减轻云风险的讽刺在于，尽管我们知道攻击向量，但具体细节是随机的模式几乎不存在。如果有，我们就能轻松通过AI自动化响应。

虽然有许多机会可以自动化提高云检测和响应的效率与准确度，但云风险是由人为因素造成的，而呈现为机器异常。这是许多安全团队仍在适应的场景，但一旦找到这些异常，安全团队就能进行有效修复。

很少见到“云安全”和“好消息”放在同一句话中。让我们为此欢呼！

Tomer Filiba 首席技术官，Sweet Security