7、云原生应用安全：从评估到密钥管理

云原生应用安全：从评估到密钥管理

1. 以开发者视角审视安全

作为安全工程师，我们往往希望保障和修复所有事物，但有时会过度关注一些并非真正需要安全处理的内容。一种避免这种情况的方法是站在开发者的角度，了解软件背后的逻辑。不需要成为开发专家，只需理解代码的工作原理，然后设身处地为开发者着想，判断所认为的安全解决方案是否真的有效。一个简单的判断方法是问自己：这个弱点是否能被自己或他人利用？如果答案是肯定的，那么值得让团队进一步调查。

2. 利用自动化工具识别安全威胁

自动化工具是枚举和识别安全威胁与弱点的有效方式。虽然它们可能会产生大量的误报和漏报，但能帮助安全工程师将关注点集中在工具的检测结果上。下面介绍一款用于应用安全的工具——OWASP应用安全验证标准（ASVS）。

3. OWASP ASVS简介

OWASP ASVS是一个社区驱动的开源框架，旨在帮助组织评估其Web应用程序的安全性。该标准提供了一个安全要求清单，Web应用程序需满足这些要求以确保其安全态势。

框架分为三个安全覆盖级别，每个级别增加额外的安全控制。这些级别基于应用程序及其处理数据的敏感性，以及成功攻击可能造成的影响。

使用ASVS时，组织可以将其应用程序与标准要求进行对比，确定是否具备满足安全要求的必要控制。该框架可用于评估新应用和现有应用，帮助组织识别需要解决的安全漏洞。

对于云原生应用，ASVS框架是评估云环境中微服务、API和其他组件安全性的宝贵工具。通过评估ASVS中列出的安全要求，组织可以确保其云原生应用安全，并正确配置组件以满足必要的安全控制。

4. 运行OWASP AS