文章来源Checkmarx软件安全管理平台

云基础架构

Gartner在报告中提到：到2025年，70%的企业工作负载将部署在云基础架构和平台服务上。此外，超过99%的云数据外泄的根本原因是终端用户可预防的配置错误或错误。

因此，随着越来越多的企业利用云基础架构，并将其软件部署在云上作为其业务模式的一部分，了解安全状况并通过扫描所有环境中的云基础架构不断降低安全风险至关重要。

IaC扫描

作为软件开发生命周期的一部分，IaC（基础架构即代码）扫描是第一步，现在我们将扫描运用至下一个阶段。除了扫描IaC文件之外，我们现在还可以连接和扫描已部署的生产环境，以帮助识别那些环境中的任何安全错误配置。无论这些错误配置源自IaC文件、手动资源提供和更改，还是资源没有跟上当前版本或安全特性，Checkmarx的保持基础架构即代码安全（KICS）现在可以帮助解决许多此类问题。

KICS 1.5版本：扫描实时生产环境

为了帮助开发人员、DevOps和安全团队应对围绕IaC概念（例如，管理云资源配置）的挑战，确保他们能够一致跨越各种环境，同时保持安全最佳实践，企业的政策和降低风险，我们引入了KICS 1.5版本。

该版本允许企业利用Terraformer功能从AWS运行时的环境中提取云资源配置。然后，企业可以构建反映运行时配置的IaC文件，并使用KICS自动扫描它们，通过扫描报告获得实际安全状况，该扫描报告突出显示了漏洞和错误配置的列表。

通过使用这个新功能，开发人员、DevOps和安全团队现在可以扫描实时生产环境，并纵览他们的云安全状况。此外，人工比较这些结果与IaC流水线扫描可以帮助识别任何云配置漂移。

Ori Bendet 

Checkmarx产品管理副总裁

“通过这项新功能，我们将进一步保障云基础架构的安全。企业现在可以扫描他们的IaC流水线及其实时环境，从而更好地了解自身的云安全状况。"

功能持续更新

虽然这是自动比较云基础架构不同环境之间的安全调查结果和错误配置的重要一步，并且这能在风险发生时立即降低风险，但我们计划进一步增强开发人员、DevOps和安全团队的能力。很快，我们就会支持其他云提供商的基础架构扫描（如Azure、GCP等），并提供一个名为“Driffty”的增强型漂移检测工具，它将补充KICS的功能，并在此基础上提供更多可操作的见解。

关于并擎科技（Binqsoft）

上海并擎软件科技有限公司（简称“并擎科技”, www.binqsoft.com）成立于2009年，是一家深耕于网络安全领域，提供相关解决方案与技术服务的高新技术企业。并擎科技总部位于上海，在北京、广州和深圳设有分支机构，公司核心人员来自Microsoft、HP、Morgan Stanley等知名IT和金融企业，具有丰富的技术积淀和管理经验。

 

并擎科技基于业内领先的解决方案、雄厚的技术实力以及丰富的服务经验，为互联网、金融、能源、制造、交通、医疗、零售等行业的广大用户，提供优质多元的解决方案和专业高效的技术服务。

 

并擎科技践行“用心服务、共铸安全”的服务理念，凭借丰富的解决方案、专业的服务团队、众多的行业案例、深入的厂商合作以及全国范围内的支持服务能力等优势，携手多家知名安全厂商，向众多用户提供优质的解决方案和专业的技术服务。