Безопасность – это очень важно, но давайте завтра. Как разработчики (не) защищают свои контейнеры

Почти половина разработчиков на Java готовы отказаться от самостоятельной защиты контейнеров и передать эту задачу поставщикам готовых защищённых образов. Такой вывод сделала компания BellSoft, опубликовав результаты опроса, который наглядно показывает, как усталость от сложной безопасности меняет подход к разработке.

Исследование основано на опросе 427 разработчиков, проведённом на конференции Devoxx в рамках подготовки отчёта «Состояние безопасности контейнеров 2025». Согласно данным BellSoft, 48% респондентов предпочли бы использовать заранее защищённые контейнерные образы, вместо того чтобы самостоятельно разбираться в уязвимостях и настройке безопасности. При этом главным критерием выбора базового образа для контейнера разработчики назвали именно безопасность. Её указали 29% участников опроса. Далее следуют производительность с 21%, размер образа и поддержка Java по 17%, удобство использования 11%, соблюдение лицензий 4% и другие факторы 1%.

Интерес к защите контейнеров выглядит вполне логичным. Почти каждый четвёртый разработчик, а именно 23%, сообщил, что за последний год сталкивался с инцидентами, связанными с безопасностью контейнеров. Однако реальная практика часто идёт вразрез с заявленными приоритетами. Более половины опрошенных, 55%, используют универсальные дистрибутивы Linux, а 69% работают с универсальными сборками комплекта разработки Java. По мнению BellSoft, такое программное обеспечение перегружено лишними компонентами, что усложняет его защиту и требует дополнительных усилий по настройке и оптимизации по сравнению с уже защищёнными решениями.

Отдельной проблемой остаётся человеческий фактор. Разработчики указали, что 62% ошибок в безопасности контейнеров связаны с человеческими ошибками. Далее идут сложности с установкой обновлений 36%, задержки между обнаружением уязвимостей и выпуском исправлений 32%, а также ложные срабатывания средств сканирования 29%. Ситуацию усугубляют и организационные факторы. Почти половина респондентов, 49%, пожаловались на нехватку времени и ресурсов, а 36% указали на низкий приоритет безопасности контейнеров внутри компаний.

Подходы к защите контейнеров у команд заметно различаются. 45% полагаются на доверенные реестры контейнеров, 43% используют сканирование уязвимостей, 18% формируют перечни компонентов программного обеспечения, 16% применяют подпись образов, а 6% используют аппаратную изоляцию. При этом 10% участников признались, что в их организациях вообще не применяются дополнительные меры защиты, кроме стандартных инструментов.

Генеральный директор BellSoft Алекс Белокрылов отметил, что во всех разделах опроса повторяется одна и та же мысль: команды хотят безопасности, эффективности и простоты, но текущие инструменты и стратегии мешают этого добиться. По его словам, использование заранее защищённых образов позволяет переложить ответственность за обновления и безопасность на поставщика, снижая нагрузку на команды и затраты на сопровождение.

Интересно, что активное распространение инструментов на базе искусственного интеллекта почти не отразилось на ответах участников опроса. Вице-президент BellSoft по маркетингу Мария Гладкая сообщила, что в исследовании этого года тема искусственного интеллекта практически не упоминалась, хотя в прошлогоднем опросе 74% разработчиков признались, что используют такие инструменты для написания кода.