2019 年容器安全最新現狀研究報告：意識普遍低，責任歸屬難！

作者 | 劉淼

出品 | CSDN雲計算（ID：CSDNcloud）

2019年1月份，Tripwire發布了2019年關於容器安全的最新現狀調查研究。相較於DORA的每年度的DevOps報告，這份報告雖然在調研的數量上遠遠少於，但是考慮到報告定位的問題較為專一和深入，同時Tripwire本身在安全相關的行業經驗。DevOps實踐的新寵（容器）在安全方面的現狀讓我們拭目以待。

調研機構

Tripwire致力於IDS（Intrusion detection system：入侵檢測系統）的研究和對應，它根據系統整體的完整性是否遭到破壞來判斷是否被入侵，在安全領域有一定的名聲。在DevOps實踐方面，可能這家公司的合作創始人兼前CTO的Gene Kim（鳳凰項目一書的作者）更加有名氣一些。而Tripwire早在2014年底，就已經被美國最大的高速電子電纜生產商之一的百通（Belden Inc）所併購。

數據來源

這份報告的結論是建立在對數百份IT安全相關的職業人員的調研基礎之上的。而受訪對象中311位受訪者在超過100名僱員的公司中管理環境中的容器。而搞到86%的受訪者（269位）在生產環境中進行鏡像的使用。

而受訪對象中關於所在行業也與2019年DevSecOps的數據不謀而合，科技和金融合起來接近半壁江山，容器在科技和金融領域的展開相較於其他行業還是有一定的優勢的。

使用現狀：86%的受訪者在生成環境中使用了容器

根據反饋，高達86%的受訪者在生產環境中使用了容器。近1/3（32%）的受訪者所在企業生產環境中使用容器的數量超過100，近1/3的受訪對象對容器的使用在10-100之間，少於10個的企業佔到22%。整體來看容器在生產環境的使用已經得到了很大程度的推進。

對於容器安全的關注

對於容器安全，高達94%的受訪對象對容器安全比較關注，只有6%的受訪者表示並不在乎。而表示高度關注的受訪對象也達到了43%，所以容器安全是一個從開始就得到了重視的安全問題。

用的越多關注度愈高

從在生產環境中使用的容器數量來分析關注度高的受訪者狀況，顯示出使用的容器數量愈多，對於容器安全的關注愈高，生產環境中容器數量超過100的受訪者的「非常關注」的比例達到了54%。

註：上圖中深紅色的（More than 10 containers應該是報告的失誤，此處明顯應該是100）

了解的愈多關注度愈高

受職責所在以及對於容器安全的知識多少的影響，顯示出具有安全相關的職責和對於容器安全知識的多少都會造成關注度的不同。知道的愈多，關注度愈高。

容器安全的關注點

對於容器安全的關注相關的調查顯示，目前的狀態仍然停留在「團隊缺乏足夠的容器安全知識」的程度，由於不了解產生的關注，仍很難落於實處。

生產環境的使用不容樂觀

在前面的數據中顯示311位受訪者所在企業中高達269位所在的企業在生產環境中使用了容器。而在這之中，只有7%的受訪者表示「他們的生產環境沒有安全性的問題」，剩餘93的受訪者之中，47%確信他們在生產環境中有安全性的問題，46%不知道/不確信他們是否有類似的問題。

47%的受訪者確信他們存在容器安全的隱患

這其中包括：

17%的受訪者表示清楚地知道存在這些問題，但是義無反顧地將容器布置到了生產環境

30%的受訪者表示知道存在這些問題，但是並不知道這些安全性的問題到底是什麼

46%的受訪者不知道/不確信是否有類似問題

46%的受訪者不知道/不確信是否有類似問題

這其中包括：

20%的受訪者表示他們不認為有，但是不是很確信

22%的受訪者表示他們知道有一些，但是不確信

4%的受訪者表示他們不知道

這是一個很可怕的反饋，潛台詞就是，高達93%的受訪者不是非常清楚問題的狀況，而這裡是生產環境的部署。而根據容器使用數量的反饋進行分析也能得到類似的結果：

這裡面可以看到一個能顯示非常重要信號的數據，關於「我們知道問題的所在，但是我們還是部署了它們」的情況，可以看到這是一個接近線性的比例，在生產環境中使用的多（超過100容器），這種問題發生的比例就高，也就是說目前的容器安全的意識和水平，整體來說很難說很高。

60%的受訪者所在組織在過去一年碰到過安全事件

除了29%的受訪者明確表示沒有安全問題，11%的受訪者表示不知道之外，剩餘的60%的受訪者所在組織在過去的一年中都碰到過安全事件，其中5次以下的佔到了37%，而超過100次的也有3%。

做的越多錯的越多

前面已經分析過了，在生產環境部署了100個以上的組織，並不意味著他們是在成熟度高了之後進行的逐步擴展，從結果的分析看來，明顯是做的越多錯的越多。

未來期待

關於未來的期待，71%的受訪者不是這麼認為的。

71%的受訪者認為容器安全問題所佔的比例在接下來的一年會穩定上升

相較於對安全狀況的不慎明了，對於容器安全問題在來年所佔比率上，13%的受訪者認為會

大幅上升，58%認為會小幅上升，合計71%的受訪者對此表示強烈的信心。

而關於問題會增多的原因更多的受訪者分析為內因，容器的推廣和在關鍵業務中的使用都大於或等於對於外部黑客可能侵入的擔憂。

42%的受訪者表示會因為安全風險限制容器的推廣

雖然有點像因噎廢食，安全風險的確不容忽視，雖然看起來正確的做法是增加安全的防護，42%的受訪者明確表示會考慮因安全風險限制容器的使用。

高達98%的用戶反饋希望在容器環境中增強安全相關的功能

誰該負責容器安全

關於誰該負責容器安全這個話題，46%的受訪者認為負責IT安全的部門應該負責這個。

由於容器的採用，82%的受訪者認為關於安全職責的問題需要重新思考

這不只是一份調查報告，很有可能跟你的工作相關，容器的引入帶來了新的安全問題。這個問題誰該負責並沒有一個標準的答案，46%的受訪者認為是IT安全部門應該負責，很有可能這些受訪者都不是IT安全部門的員工。

總結

容器的推行勢在必行，容器安全的責任歸屬尚未明確，容器的採納帶來的安全問題已經實際存在，落到誰的頭上只是時間的問題，總需要有人來解決這個問題，組織在思考，安全問題不會等待。在我們的思考之中繼續安全問題仍然在平穩地發生。

參考內容

https://www.tripwire.com/solutions/devops/tripwire-dimensional-research-state-of-container-security-report

作者簡介：劉淼，HPE架構師，慧與大學講師，Exin DevOps Master和DevOps Professional授權講師，CSDN博主(liumiaocn)，愛老婆愛廚藝的終身技術學習者。

熱 文推 薦

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！