Chainguard спонсировал этот пост.
Общие уязвимости и воздействия (CVE) рассматривались исключительно как технический риск, но сегодня они стали чем -то большим: бездонной ямой эксплуатационных и финансовых затрат.
Log4shell (CVE-2021-44228), одна из наиболее критических уязвимостей десятилетия, и CVE CVES INGRESS-NGINX CVES подчеркнуло риски, которые представляет CVE. Управление ими в контейнерных средах невероятно сложно, трудоемко и дорого.
Управление CVE — это снежный ком, как и затраты
Уязвимости умножаются быстрее, чем команды могут их исправить — и разрыв только расширяется. Только в 2024 году было опубликовано более 40 000 CVES, по сравнению с 29 000 в 2023 году. Затраты CVE могут проявляться как пропущенные сроки соответствия, перераспределенные инженерные циклы, отсроченные выбросы продуктов и утративные возможности для бизнеса-серьезные проблемы, которые могут оказать долгосрочные последствия для организации. Сегодня среднее нарушение данных стоит 4,9 миллиона долларов. Тем не менее, эта цифра не отражает молчаливых затрат на то, чтобы избежать нарушений или трудоемкого процесса, занимаясь делением и исправлением CVE в условиях сборки организации.
Отчет Chainguard 2025 года, в котором анализируется расходы, связанные с CVE, показал, что как для организаций Fortune 500, так и для стартапов CVE больше не являются просто проблемой безопасности; Они стали огромным экономическим бременем.
По мере того, как организации растут, так же объем программного обеспечения в производстве, который необходимо обеспечить, количество требований к соблюдению, которые необходимо выполнить, и объем проверки со стороны клиентов. Тем не менее, инженерные команды чрезвычайно увязывают огромное количество CVE, которые им необходимы для управления, убирая драгоценное время, которое может быть сосредоточено на работе инноваций и получения доходов.
- Предпринимательские организации (10 млрд. Долл. сша) сообщили о средние годовые сбережения в размере 44 млн. Долл. сша при восстановлении CVE в их средах сборки, причем большая часть этой стоимости была получена из -за снижения воздействия риска и более быстрого инноваций.
- Компании на ранней стадии (<100 миллионов долларов) разблокируют годовую стоимость 6,6 млн. Долл. сша, снижая свою рабочую нагрузку CVE. Эти выгоды в основном связаны с ускорением времени на рынок и сокращении инженерного времени, потраченного на исправление и соответствие.
- Компании среднего уровня (500–1,1 млрд долларов) сэкономили в среднем 2,13 млн. Долл. сша в год только на восстановление CVE. Без зрелой автоматизации или золотых изображений многие из этих организаций потеряли бы ценные инженерные циклы из -за ручного исправления и подготовки к соответствию.
Безопасность питает инновации в разных отраслях промышленности
В отчете иллюстрируется возврат инвестиций в пяти основных отраслях. В то время как конкретные драйверы различаются, шаблон является последовательной: когда трение безопасности устраняется, организации строят быстрее, безопаснее и с меньшими сюрпризами.
- Отраслевые результаты подтверждают эту тенденцию: потребительские и торговые компании видели крупнейшую экономию по восстановлению CVE, в среднем 3,1 млн. Долл. сша в год.
- Организации здравоохранения сэкономили средний показатель в размере 1,89 млн. Долл. сша.
- Финансовые услуги сэкономили средний показатель в размере 1,16 млн. Долл. сша.
- Технологические компании сэкономили 1,04 миллиона долларов.
Причины этих сбережений затрат могут отличаться. Например, в финансовых услугах CVE может нести риски для аудита и соответствия, которые требуют подробной отчетности и сотрудничества. Организации здравоохранения часто имеют дело с устаревшей инфраструктурой и нормативными требованиями (такими как HIPAA), которые затрудняют исправление CVE. Независимо от того, какая отрасль, сокращение количества команд инженеров, которые тратят инженерные команды, имеет решающее значение на программное обеспечение вручную, тестирование и перераспределение программного обеспечения имеет решающее значение.
Соответствие как ускоритель дохода
Во многих отраслях промышленности в настоящее время требуется устойчивое управление CVE для роста, а не только снижение рисков. Сильные позы безопасности открывают дверь для новых каналов дохода, особенно при продаже на регулируемых рынках.
Когда дело доходит до CVE и непрерывного мониторинга, соответствие требованиям соответствия может быть пугающим и запутанным. Соблюдение не просто достигнуто; Скорее, это процесс непрерывного обслуживания. Фреймворки соответствия могут потребовать дополнительных стандартов, таких как федеральные стандарты обработки информации (FIP), федеральная программа управления рисками и авторизацией (FEDRAMP), руководства по техническому внедрению безопасности (GLIS) и больше, которые добавляют дополнительный уровень сложности и проведенного времени.
Результаты ясны. Телекоммуникационные и инфраструктурные компании сообщили о новом доходах в среднем в размере 3 миллиона долларов сша, повышая безопасность контейнеров достаточно, чтобы претендовать на чувствительные к безопасности контракты. Организации здравоохранения в среднем составили 7,3 млн. Долл. сша по новым доходам, часто обучающимися расширению на рынках с трудом соблюдения. Технологические фирмы роста разблокировали годовую стоимость 12 миллионов долларов, большая часть которых была связана с возможностью пройти проверку покупателя предприятия в начале цикла продаж.
Пора выйти за рамки сдвига влево
Индустрия уже давно отстаивала «сдвинувшуюся левую безопасность», или внедряет чеки ранее в трубопроводе, чтобы обеспечить включение мер безопасности на протяжении всего жизненного цикла разработки программного обеспечения. Однако, поскольку усталость CVE ухудшается, многие команды понимают, что им нужно «начать слева». Это означает:
- Использование закаленных минимальных контейнерных изображений по умолчанию
- автоматизация сортировки CVE и исправление через воспроизводимые сборки
- Инвестиции в инфраструктуру защищенных по умолчанию, которая делает управление уязвимостью невидимым для большинства разработчиков
CVE всегда несут технические риски и соответствия. Тем не менее, этот анализ показывает, что неуправляемая уязвимость тихо сорвал скорость, раздувает эксплуатационные затраты и задерживает рост. Инженерные лидеры должны начать рассматривать CVE Management как к производительности и бизнесу, а не только требования к безопасности. Для команд, стремящихся двигаться быстро и надежно масштабироваться, важно строить надежный фундамент.
Chainguard является безопасной основой для разработки и развертывания программного обеспечения. Предоставляя охраняемое программное обеспечение с открытым исходным кодом, созданное из источника и непрерывно обновляемое, Chainguard помогает организациям устранить угрозы в цепочках поставок программного обеспечения. Узнайте больше последних из Chainguard Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Ким — основатель и глава продукта в Chainguard. Она начала свою карьеру в пространстве безопасности как инженер, работающий в Lawrence Labs, и совсем недавно работала в Google. Она запустила несколько продуктов облачных предприятий … Подробнее от Ким Левандовски
