資安研究人員指出,在超過1,000個開放原始碼的無伺服器應用程式中,有21%具有嚴重漏洞或設定錯誤。他們還指出有6%將敏感資料(如API金鑰和帳號密碼)儲存在可公開存取的檔案庫中。
[專家見解:轉向無伺服器雲端應用程式]
什麼是無伺服器應用程式?
“無伺服器”有點不精確。應用程式在第三方雲端基礎設施上運行(如Amazon Web Service(AWS)的Lambda,微軟的 Azure Functions和Google的Cloud Functions)。它們沒有使用專屬伺服器、虛擬機或容器(container);只有應用程式的程式碼在雲端伺服器上執行直到完成任務。
無伺服器應用程式體現了新興的功能即服務(FaaS)模型,將雲端運算轉變成一個平台,企業可以用來開發、部署和管理其應用程式,無需建立自己的基礎設施。
透過“無伺服器”,開發人員和企業受益於其靈活性和自動化能力。它也可以是推出應用程式的一種可擴展且高經濟效益的方式,因為不需要配置或維護專屬伺服器,安裝/管理軟體或運行環境。
[InfoSec指南:緩解Web注入攻擊]
無伺服器應用程式最常見的安全問題是什麼?
安全研究人員指出,大多數漏洞和弱點是因為實際應用程式中所用的不安全程式碼等問題所造成。他們發現這些是開放原始碼無伺服器應用程式最常見的安全問題:
- 資料注入 – 不可信或未經處理的輸入在應用程式元件(例如儲存、資料庫和通知系統)之間傳輸
- 認證機制
- 雲端儲存系統的錯誤授權設定
- 應用程式請求或授予的權限
- 監控和記錄功能不足
- 來自第三方套件的不安全程式碼
