统一云和容器安全解决方案提供商 Sysdig 的一份新报告显示，87% 的容器镜像存在高危漏洞。

Sysdig 的 2023 年云原生安全和使用报告显示，供应链风险和零信任架构准备情况是云和容器环境中尚未解决的最重要的安全问题。

这是 Sysdig 发布的第六份年度报告。它着眼于真实世界的数据，以了解全球公司和行业如何使用和保护云和容器环境。

使用的数据集涵盖了 Sysdig 客户在过去一年中运行的数十亿个容器、数千个云帐户和数十万个应用程序。

报告中有许多亮点，但标题是 87% 的容器镜像存在高危或严重漏洞。

由于现代设计的性质和共享开源图像的现实，安全团队面临着大量的容器漏洞。此更改的部分问题在于，团队发现更难确定漏洞的优先级并缩减工作量以管理这些漏洞。

然而，该报告的一个启示是，只有 15% 的严重和高漏洞具有可用的修复程序是在运行时加载的包中。这意味着组织团队可以将他们的精力集中在减少 15% 的漏洞上，而仅通过过滤实际使用的包，这一比例为 85%。

云和容器环境中的另一个主要问题是零信任架构。零信任架构原则强调组织应避免授予过于宽松的访问权限，报告显示授予的权限中有 90% 未被使用。 

该报告还指出，59% 的容器没有定义 CPU 限制，69% 的请求 CPU 资源未被使用。如果没有 Kubernetes 环境的利用率信息，开发人员就很难了解他们的云资源在哪里分配过多或分配不足。 

这一挑战的部分原因是导致各种规模的组织可能超支 40%，其中超过 1000 万美元用于大型云部署的浪费支出。

浪费的支出还可能与容器的使用寿命有关，报告指出，72% 的容器寿命不到五分钟，今年这一数字下降了 28%。 

容器寿命的缩短可能归因于组织对容器编排的使用日趋成熟。尽管如此，它也表明需要能够跟上云的短期性质的安全性。

回顾去年的报告，容器的采用不断成熟，容器寿命的缩短证明了这一点。然而，错误配置和漏洞继续困扰着云环境，供应链正在放大安全问题的表现方式。

对于用户和服务而言，权限管理是我希望看到人们变得更加严格的另一个领域。

今年的报告显示了巨大的增长，并概述了希望团队在 2024 年报告之前采用的最佳实践，例如查看使用中的风险以了解真正的风险，并优先修复真正有影响的漏洞。