危险6:信任不安全的第三方
尽管没有服务器技术,第三方库的不确定性并不是唯一的缺点,但由于缺乏应用程序网络和行为安全控制功能,在服务器环境中检测到的恶意软件包更加复杂。
风险7:应用程序机密内存不确定
使用Secret Storage最常见的问题之一是将机密信息存储在软件项目的公共文本文件中,或者使用环境变量将机密信息保存在公共文本文件。
风险8:拒绝服务和消耗金融资源
无服务器结构的特点是自动伸缩性和高可用性。然而,与其他类型的应用程序一样,为了避免瓶颈,应用最佳实践和良好设计是很重要的。
风险9:服务器操作逻辑不工作
业务逻辑操作是许多软件中常见的问题。然而,没有服务器的应用程序是特殊的。它们通常遵循微服务的设计,其中的功能组合成一个逻辑整体。如果执行不正确,攻击者可以操纵预期的逻辑。
风险10:错误处理和详细错误消息
与标准应用程序的调试功能相比,无服务器的应用程序调试功能有限且复杂。因此,通常会出现较长的错误消息,导致敏感数据泄露。
风险11:闲置/未使用的功能和云资源
随着时间的推移,与服务器功能无关的云资源可能会过时,因此应该消除它们。处理旧部件的目的是减少不必要的成本,消除可避免的攻击面。较旧的无服务器应用程序组件可能包括较差的无服务器功能版本、未使用的云资源、不必要的事件源、未使用角色或标识以及未使用的依赖项。
风险12:交叉执行数据连续性
无服务器平台为应用程序开发人员提供本地磁盘空间、环境变量和存储库以执行操作。为了使没有服务器的平台能够有效地处理新调用,云提供商可以为后续调用重用运行环境。如果服务器运行环境不重复属于不同用户或会话的后续调用,则可能会打开敏感数据。
无服务器技术12个风险目的是提高人们的意识,帮助公司和组织在没有服务器的情况下安全创新,而不是散播恐慌。所有平台都有安全风险,服务器也不例外。CSA旨在防止风险和频繁错误,同时鼓励公司采用新技术。
