9、云原生应用开发中的安全集成实践

云原生应用开发中的安全集成实践

1. SSRF 漏洞与安全预防

SSRF（服务器端请求伪造）是一种关键的漏洞，对运行云原生应用的组织可能造成严重后果。组织可通过采取主动措施来检测和预防 SSRF 漏洞，降低攻击风险，保护客户的敏感数据。

2. 开发流程中的安全理念转变

在传统的瀑布式开发过程中，安全审计通常仅在部署或生产阶段进行，导致安全问题修复成本高且耗时。为解决这一问题，引入了“左移”概念，即将安全控制提前到开发过程中，以便更早发现和修复问题，降低成本。

然而，在 DevOps 时代，“左移”概念并非那么简单。DevOps 采用的是持续的开发过程，没有明确的“左”和“右”，并且接受有些漏洞只有在生产环境中才能被发现。传统的软件开发生命周期（SDLC）与现代 DevOps 时代形成对比，DevOps 更注重快速交付周期，并依赖可观测性等方法在部署后发现问题。

此外，“左移”概念没有反映出 DevOps 带来的所有权变化和独立团队的驱动力。重要的改变不仅是将技术测试左移，更重要的是将测试的所有权转移到开发团队。这意味着每个开发团队应具备能力和权力，根据自身的工作流程和技能，决定进行安全测试的最佳时间和地点。

因此，不应仅仅关注“左移”，更应采用一种赋能的安全实践，使开发团队能够承担起安全测试的责任。安全团队应提供必要的工具和培训，使开发团队能够对自己的代码进行安全测试，并为解决发现的漏洞提供指导。

3. 安全与开发的权衡

安全常常被认为与开发实践对立，但实际上并非如此。安全工程师在工作中应思考以下问题：
- 我们要保护什么，为什么保护它至关重要？
- 我