作者 | 刘淼

出品 | CSDN云计算（ID：CSDNcloud）

2019年1月份，Tripwire发布了2019年关于容器安全的最新现状调查研究。相较于DORA的每年度的DevOps报告，这份报告虽然在调研的数量上远远少于，但是考虑到报告定位的问题较为专一和深入，同时Tripwire本身在安全相关的行业经验。DevOps实践的新宠（容器）在安全方面的现状让我们拭目以待。

调研机构

Tripwire致力于IDS（Intrusion detection system：入侵检测系统）的研究和对应，它根据系统整体的完整性是否遭到破坏来判断是否被入侵，在安全领域有一定的名声。在DevOps实践方面，可能这家公司的合作创始人兼前CTO的Gene Kim（凤凰项目一书的作者）更加有名气一些。而Tripwire早在2014年底，就已经被美国最大的高速电子电缆生产商之一的百通（Belden Inc）所并购。

数据来源

这份报告的结论是建立在对数百份IT安全相关的职业人员的调研基础之上的。而受访对象中311位受访者在超过100名雇员的公司中管理环境中的容器。而搞到86%的受访者（269位）在生产环境中进行镜像的使用。

而受访对象中关于所在行业也与2019年DevSecOps的数据不谋而合，科技和金融合起来接近半壁江山，容器在科技和金融领域的展开相较于其他行业还是有一定的优势的。

使用现状：86%的受访者在生成环境中使用了容器

根据反馈，高达86%的受访者在生产环境中使用了容器。近1/3（32%）的受访者所在企业生产环境中使用容器的数量超过100，近1/3的受访对象对容器的使用在10-100之间，少于10个的企业占到22%。整体来看容器在生产环境的使用已经得到了很大程度的推进。

对于容器安全的关注

对于容器安全，高达94%的受访对象对容器安全比较关注，只有6%的受访者表示并不在乎。而表示高度关注的受访对象也达到了43%，所以容器安全是一个从开始就得到了重视的安全问题。

用的越多关注度愈高

从在生产环境中使用的容器数量来分析关注度高的受访者状况，显示出使用的容器数量愈多，对于容器安全的关注愈高，生产环境中容器数量超过100的受访者的“非常关注”的比例达到了54%。

注：上图中深红色的（More than 10 containers应该是报告的失误，此处明显应该是100）

了解的愈多关注度愈高

受职责所在以及对于容器安全的知识多少的影响，显示出具有安全相关的职责和对于容器安全知识的多少都会造成关注度的不同。知道的愈多，关注度愈高。

容器安全的关注点

对于容器安全的关注相关的调查显示，目前的状态仍然停留在“团队缺乏足够的容器安全知识”的程度，由于不了解产生的关注，仍很难落于实处。

生产环境的使用不容乐观

在前面的数据中显示311位受访者所在企业中高达269位所在的企业在生产环境中使用了容器。而在这之中，只有7%的受访者表示“他们的生产环境没有安全性的问题”，剩余93的受访者之中，47%确信他们在生产环境中有安全性的问题，46%不知道/不确信他们是否有类似的问题。

47%的受访者确信他们存在容器安全的隐患

这其中包括：

● 17%的受访者表示清楚地知道存在这些问题，但是义无反顾地将容器布置到了生产环境

● 30%的受访者表示知道存在这些问题，但是并不知道这些安全性的问题到底是什么

● 46%的受访者不知道/不确信是否有类似问题

46%的受访者不知道/不确信是否有类似问题

这其中包括：

● 20%的受访者表示他们不认为有，但是不是很确信

● 22%的受访者表示他们知道有一些，但是不确信

● 4%的受访者表示他们不知道

这是一个很可怕的反馈，潜台词就是，高达93%的受访者不是非常清楚问题的状况，而这里是生产环境的部署。而根据容器使用数量的反馈进行分析也能得到类似的结果：

这里面可以看到一个能显示非常重要信号的数据，关于“我们知道问题的所在，但是我们还是部署了它们”的情况，可以看到这是一个接近线性的比例，在生产环境中使用的多（超过100容器），这种问题发生的比例就高，也就是说目前的容器安全的意识和水平，整体来说很难说很高。

60%的受访者所在组织在过去一年碰到过安全事件

除了29%的受访者明确表示没有安全问题，11%的受访者表示不知道之外，剩余的60%的受访者所在组织在过去的一年中都碰到过安全事件，其中5次以下的占到了37%，而超过100次的也有3%。

做的越多错的越多

前面已经分析过了，在生产环境部署了100个以上的组织，并不意味着他们是在成熟度高了之后进行的逐步扩展，从结果的分析看来，明显是做的越多错的越多。

未来期待

关于未来的期待，71%的受访者不是这么认为的。

71%的受访者认为容器安全问题所占的比例在接下来的一年会稳定上升

相较于对安全状况的不慎明了，对于容器安全问题在来年所占比率上，13%的受访者认为会

大幅上升，58%认为会小幅上升，合计71%的受访者对此表示强烈的信心。

而关于问题会增多的原因更多的受访者分析为内因，容器的推广和在关键业务中的使用都大于或等于对于外部黑客可能侵入的担忧。

42%的受访者表示会因为安全风险限制容器的推广

虽然有点像因噎废食，安全风险的确不容忽视，虽然看起来正确的做法是增加安全的防护，42%的受访者明确表示会考虑因安全风险限制容器的使用。

高达98%的用户反馈希望在容器环境中增强安全相关的功能

谁该负责容器安全

关于谁该负责容器安全这个话题，46%的受访者认为负责IT安全的部门应该负责这个。

由于容器的采用，82%的受访者认为关于安全职责的问题需要重新思考

这不只是一份调查报告，很有可能跟你的工作相关，容器的引入带来了新的安全问题。这个问题谁该负责并没有一个标准的答案，46%的受访者认为是IT安全部门应该负责，很有可能这些受访者都不是IT安全部门的员工。

总结

容器的推行势在必行，容器安全的责任归属尚未明确，容器的采纳带来的安全问题已经实际存在，落到谁的头上只是时间的问题，总需要有人来解决这个问题，组织在思考，安全问题不会等待。在我们的思考之中继续安全问题仍然在平稳地发生。

参考内容

https://www.tripwire.com/solutions/devops/tripwire-dimensional-research-state-of-container-security-report

人工智能的现状及今后发展趋势如何？ 

https://edu.csdn.net/topic/ai30?utm_source=csdn_bw

作者简介：刘淼，HPE架构师，慧与大学讲师，Exin DevOps Master和DevOps Professional授权讲师，CSDN博主(liumiaocn)，爱老婆爱厨艺的终身技术学习者。

---

 热 文 推 荐 

☞ 3.15 曝光：40 亿 AI 骚扰电话和 11 家合谋者

☞ 叫板 Android 开发！跨平台应用开发神器 Flutter 又添开源插件！| 技术头条

☞ 火速拿来用！对比近 10,000 个 Python 开源项目发现最实用的 TOP34！

☞ 为什么说“不要教你的孩子学编程”？

虎口夺食! 打破Facebook谷歌垄断, MIT大神和他的区块链数据库传奇! |人物志

☞ 杨超越第一，Python第二

以安全之名：2019年DevSecOps社区调研白皮书解读

☞ 再不编程就老了！05 后比特币专家准备赚个 134,000,000 元！

☞ 身为程序员的父母，你年薪多少才能让“码二代” 不输起跑线上？

System.out.println("点个在看吧！");
console.log("点个在看吧！");
print("点个在看吧！");
printf("点个在看吧！\n");
cout << "点个在看吧！" << endl;
Console.WriteLine("点个在看吧！");
Response.Write("点个在看吧！");
alert("点个在看吧！")
echo "点个在看吧！"

点击阅读原文，输入关键词，即可搜索您想要的 CSDN 文章。

喜欢就点击“在看”吧！

2019 年容器安全最新现状研究报告：意识普遍低，责任归属难！相关推荐

1. 2019年容器安全最新现状研究报告解读

   戳蓝字"CSDN云计算"关注我们哦! 作者:刘淼,HPE架构师,慧与大学讲师,Exin DevOps Master和DevOps Professional授权讲师,CSDN博主(l ...

2. 2017年DevOps最新现状研究报告解读

   2017年度的DevOps最新现状研究报告最新出炉,这份由Puppet牵头DORA(DevOps Research Assessment)主导的报告已经成为每年获取DevOps最新研究现状的权威资料. ...

3. 详实！DevOps 最新现状研究报告解读 | 原力计划

   作者 | liumiaocn 责编 | 徐威龙 出品 | CSDN博客 封图| CSDN 下载于视觉中国 2019年DORA发布了DevOps的研究报告,迄今为止这已经是DORA的第八次报告的发布.相 ...

4. 2019年全球数字化转型现状研究报告

   来源:Prophet 数字化是整个企业范围内的优先战略事项 我们的年度<数字化转型现状>研究迎来第五个年头,继续记录企业的不断发展.随着颠覆性技术及其对各大企业和市场的影响力不断加大,我们 ...

5. 报告 | 2019年全球数字化转型现状研究报告

   来源:Prophet 2019年,战略数字化转型的重要性已经不止于IT领域,而影响着全公司的竞争力.企业的相关预算直线攀升,利益相关方所关注的颠覆性技术数量急剧增加.数字化项目开始由首席高管主导,并由 ...

6. 2019年AI芯片产业深度研究报告

   一. 人工智能芯片发展现状及趋势 1.深度学习算法对芯片要求更为苛刻,通用 CPU 性价比相对较差 经历了 60 多年的起起伏伏之后,人工智能终于迎来了第三次爆发.第三次爆发的核心引爆点是深度学习算法 ...

7. 【AI芯片】2019年AI芯片产业深度研究报告

   程序员的日常 转发文章最多的朋友可以免费进入价值99元的<湾区AI精英会>海归圈子 一. 人工智能芯片发展现状及趋势 1.深度学习算法对芯片要求更为苛刻,通用 CPU 性价比相对较差 经历 ...

8. AI在FinTech金融科技领域最新现状及趋势分析

   前言: 自从2016年AlphaGo横空出世后,AI人工智能成为业界的热门话题, 并且在风投领域, FinTech甚至各个传统行业都掀起一场革新浪潮.本文希望简单研究下AI在FinTech金融科技领域 ...

9. 第一百三十一期:2019年容器使用报告：Docker 和 Kubernetes 王者地位不倒！

   近日,容器创业公司 Sysdig 发布了 2019 年容器使用报告.这是 Sysdig 第三年发布容器年度使用报告,与之前不同的是,今年的调查结合了更多的数据源,并深入挖掘了 Kubernetes 的 ...

最新文章

1. 服务器设置为自动登录,Windows Server 2008 R2怎样设置自动登陆(登录)
2. Cent OS dhcp配置
3. 我的新书《Java编程讲义》新鲜出炉啦，欢迎订阅
4. 阿里如何做到百万量级硬件故障自愈？
5. idea 使用sonarlint报错解决方案
6. GemBox Spreadsheet Professional 2.9
7. Simple:Press
8. Tomcat假死的原因及解决方案
9. mysql解压rar至指定文件夹_PHP解压ZIP文件到指定文件夹的方法
10. 高性能Mysql(第三版)
11. RS485通信协议温湿度传感器探头
12. html点击下载图片
13. 通用单目标跟踪综述《Handcrafted and Deep Trackers: A Review of Recent Object Tracking Approaches》
14. 获取当前的url并移除不想要的字段
15. 常见C++开源网站项目
16. Apache Hadoop KMS 部署
17. ubuntu选择编辑器select-editor
18. 阻塞双端消息队列 BlockingDeque（先进先出的原则管理）
19. wix图片导入设置_奇葩史的奇葩事 | [译]：WiX Toolset入门——内置的WixUI界面使用配置...
20. 利用python下载哨兵1号轨道数据

热门文章

1. 矩池云上安装chumpy失败
2. can接收进入两次中断_STM32的CAN2口无法进入接收中断
3. Git的一些必备用法
4. 【OpenCV】矩阵掩模操作
5. 两级压缩机行业调研报告 - 市场现状分析与发展前景预测
6. 2021-2025年中国触摸传感器行业市场供需与战略研究报告
7. 前端 如何将页脚固定在页面底部
8. 2020 年，Serverless 将给大前端带来什么样的变化？
9. uniac是哪一代计算机的代表,Saint-Uniac
10. c语言函数指针学习心得,c语言 函数指针 学习C语言笔记