调查：60% 的组织机构在2018年都经历过容器安全事故

进入2019年，很多组织机构都在考虑DevOps。这是一场全球性的运动。事实上，Puppet和Splunk在其2018年度DevOps报告中，收到了除南极洲以外来自各大洲组织机构的响应。这些组织在所属行业，规模和DevOps的成熟度级别上各不相同，但是他们都有兴趣学习如何进一步推动其DevOps发展。

这些企业将会面临不少挑战。随着各个组织机构在2019年进一步发展DevOps，他们也将面临日益增加的复杂因素和风险。部分风险将来自于他们的容器，因为很多组织机构仍然缺乏对这些软件的洞悉能力。如果他们想要充分降低风险，并最大程度的减少暴露于数字威胁的可能性，就需要保证他们容器的安全。但是他们已经做好准备了吗？

答案就在Tripwire的容器安全状态报告中(Tripwire’s State of Container Security Report)。在这项研究中，Tripwire对311位IT安全专业人员进行了调查，这些专业人员都在员工超过100名的公司中管理容器环境。

他们的回答表明，组织机构已经在保护其容器部署中获得了教训： 60％ 的组织，在过去一年中， 至少遭遇过一起容器安全事故。

在Tripwire进行研究的期间，86％的受访企业正在创建容器，而生产中的容器越多，他们遇到容器安全问题的可能性就越大。在那些生产了100多个容器的组织机构中，有75%已经遭遇过一起安全事故。所以当有94%的受访者都表达了他们对容器安全的担忧也不足为奇了。71%的受访者甚至预测，新的一年里容器安全事故将会增加。

2019年Tripwire容器安全状态报告要点：

• 94%的IT 安全专业人员表示对容器安全担忧
• 主要担忧：54% 的受访者认为团队对容器安全的知识储备不足；52%的受访者认为对容器和映像安全状态的可见程度有限；43%的受访者认为在部署前不能够对容器镜像进行安全评估；
• 在过去一年中，有60%的组织机构都经历过容器安全事件；
• 有47%的已部署容器被发现有漏洞，而46%的已部署容器漏洞不明；
• 71%的受访者预测，在2019年容器安全事件的发生概率将会增加。

他们的预测部分反映了现在企业中，在容器安全策略方面存在的问题。例如在Tripwire的调查中，只有12%的受访者表示他们能够在几分钟之内检测到一个受损的容器。而45%的受访者则表示需要几个小时，而其他人估计需要更长的时间。同时有接近一半的IT安全专业人员(47%)表示,他们所属的组织机构正在创建易受攻击的容器。同样有接近一半的专家(46%)表示不确定他们是否处于同样的情况。

Tripwire公司负责产品管理和战略的副总裁Tim Erlin解释道：

随着容器数量的增加和使用越来越广泛，组织机构感受到了加快部署的压力。为了满足这一需求，团队 只得暂时接受不对容器进行保护带来的风险。根据这份研究，我们发现这样做的结果是大部分组织机构都经历了容器安全问题。

为了应对这些安全问题，有些组织机构在限制其DevOps部署。在Tripwire的调查中，有42%的受访者回答，由于随之而来的安全风险，其所属组织正在限制容器的使用。几乎每个人都表示他们想要额外的安全环境（98%）。而82%的受访者由于使用容器而正在考虑安全责任重组。

当公司正在等待这些功能时，Erlin表示到，企业可以也应该努力将安全性纳入DevOps生命周期中。他们可以通过进行安全控制，包括漏洞管理和多容器监控/审查（包括构建环境，容器安全性测试，验证过程以及运行容器）来实现这一目标。

2018年度DevOps报告地址：

https://puppet.com/resources/whitepaper/state-of-devops-report