Безопасность – это очень важно, но давайте завтра. Как разработчики (не) защищают свои контейнеры
NewsMakerСогласно опросу, человеческий фактор стал причиной 62% ошибок в безопасности контейнерных сред.
Почти половина разработчиков на Java готовы отказаться от самостоятельной защиты контейнеров и передать эту задачу поставщикам готовых защищённых образов. Такой вывод сделала компания BellSoft, опубликовав результаты опроса , который наглядно показывает, как усталость от сложной безопасности меняет подход к разработке.
Исследование основано на опросе 427 разработчиков, проведённом на конференции Devoxx в рамках подготовки отчёта «Состояние безопасности контейнеров 2025». Согласно данным BellSoft, 48% респондентов предпочли бы использовать заранее защищённые контейнерные образы, вместо того чтобы самостоятельно разбираться в уязвимостях и настройке безопасности. При этом главным критерием выбора базового образа для контейнера разработчики назвали именно безопасность. Её указали 29% участников опроса. Далее следуют производительность с 21%, размер образа и поддержка Java по 17%, удобство использования 11%, соблюдение лицензий 4% и другие факторы 1%.
Интерес к защите контейнеров выглядит вполне логичным. Почти каждый четвёртый разработчик, а именно 23%, сообщил, что за последний год сталкивался с инцидентами, связанными с безопасностью контейнеров. Однако реальная практика часто идёт вразрез с заявленными приоритетами. Более половины опрошенных, 55%, используют универсальные дистрибутивы Linux , а 69% работают с универсальными сборками комплекта разработки Java. По мнению BellSoft, такое программное обеспечение перегружено лишними компонентами, что усложняет его защиту и требует дополнительных усилий по настройке и оптимизации по сравнению с уже защищёнными решениями.
Отдельной проблемой остаётся человеческий фактор. Разработчики указали, что 62% ошибок в безопасности контейнеров связаны с человеческими ошибками. Далее идут сложности с установкой обновлений 36%, задержки между обнаружением уязвимостей и выпуском исправлений 32%, а также ложные срабатывания средств сканирования 29%. Ситуацию усугубляют и организационные факторы. Почти половина респондентов, 49%, пожаловались на нехватку времени и ресурсов, а 36% указали на низкий приоритет безопасности контейнеров внутри компаний.
Почти половина разработчиков на Java готовы отказаться от самостоятельной защиты контейнеров и передать эту задачу поставщикам готовых защищённых образов. Такой вывод сделала компания BellSoft, опубликовав результаты опроса , который наглядно показывает, как усталость от сложной безопасности меняет подход к разработке.
Исследование основано на опросе 427 разработчиков, проведённом на конференции Devoxx в рамках подготовки отчёта «Состояние безопасности контейнеров 2025». Согласно данным BellSoft, 48% респондентов предпочли бы использовать заранее защищённые контейнерные образы, вместо того чтобы самостоятельно разбираться в уязвимостях и настройке безопасности. При этом главным критерием выбора базового образа для контейнера разработчики назвали именно безопасность. Её указали 29% участников опроса. Далее следуют производительность с 21%, размер образа и поддержка Java по 17%, удобство использования 11%, соблюдение лицензий 4% и другие факторы 1%.
Интерес к защите контейнеров выглядит вполне логичным. Почти каждый четвёртый разработчик, а именно 23%, сообщил, что за последний год сталкивался с инцидентами, связанными с безопасностью контейнеров. Однако реальная практика часто идёт вразрез с заявленными приоритетами. Более половины опрошенных, 55%, используют универсальные дистрибутивы Linux , а 69% работают с универсальными сборками комплекта разработки Java. По мнению BellSoft, такое программное обеспечение перегружено лишними компонентами, что усложняет его защиту и требует дополнительных усилий по настройке и оптимизации по сравнению с уже защищёнными решениями.
Отдельной проблемой остаётся человеческий фактор. Разработчики указали, что 62% ошибок в безопасности контейнеров связаны с человеческими ошибками. Далее идут сложности с установкой обновлений 36%, задержки между обнаружением уязвимостей и выпуском исправлений 32%, а также ложные срабатывания средств сканирования 29%. Ситуацию усугубляют и организационные факторы. Почти половина респондентов, 49%, пожаловались на нехватку времени и ресурсов, а 36% указали на низкий приоритет безопасности контейнеров внутри компаний.