無服務(wù)器計(jì)算的風(fēng)險(xiǎn)有:1����、供應(yīng)商的安全性����,無服務(wù)器計(jì)算的功能是在提供商的基礎(chǔ)設(shè)施上執(zhí)行����;2����、多租戶問題����,會涉及敏感數(shù)據(jù);3����、注入攻擊,如未經(jīng)授權(quán)或意外的內(nèi)容或數(shù)據(jù)被注入應(yīng)用程序流����;4、連接沒有加密����,可能會導(dǎo)致數(shù)據(jù)泄露;5����、安全性的錯(cuò)誤配置,如訪問密鑰、令牌����、密碼設(shè)置較簡單;6����、過度配置功能權(quán)限,使該功能面臨潛在風(fēng)險(xiǎn)����;7、組件漏洞����,通過漏洞可能會利用無服務(wù)器功能。
具體內(nèi)容如下:
1����、供應(yīng)商安全性
無服務(wù)器功能在提供商的基礎(chǔ)設(shè)施上執(zhí)行,這可能安全也有可能不安全����。
2、多租戶
無服務(wù)器服務(wù)中的功能通常運(yùn)行在為多個(gè)客戶運(yùn)行代碼的共享基礎(chǔ)設(shè)施上����,當(dāng)涉及敏感數(shù)據(jù)時(shí),這可能是一個(gè)問題����。
3、注入攻擊
在注入攻擊中����,未經(jīng)授權(quán)或意外的內(nèi)容或數(shù)據(jù)被注入應(yīng)用程序流;而在無服務(wù)器模型中����,注入攻擊可以來自無服務(wù)器功能調(diào)用以執(zhí)行的事件。
4����、加密
無服務(wù)器功能通常可以調(diào)用數(shù)據(jù)庫和其他特權(quán)資源����,如果連接未加密,則可能會泄露數(shù)據(jù)����。
5����、安全性錯(cuò)誤配置
為了能夠訪問不同的資源����,開發(fā)人員可能會直接將訪問密鑰、令牌����、密碼輸入到該功能中;而沒有保護(hù)這些秘密是一種風(fēng)險(xiǎn)����。
6、功能權(quán)限
通常無服務(wù)器功能被授予與服務(wù)器可能獲得的相同權(quán)限����。但是,無服務(wù)器功能需要很低限度的權(quán)限即可執(zhí)行����,而過度配置權(quán)限會使該功能面臨潛在風(fēng)險(xiǎn)。
7����、組件漏洞
功能通常依賴于第三方庫和組件的供應(yīng)鏈����。如果其中一個(gè)組件中存在已知(或未知)漏洞����,則可能會利用無服務(wù)器功能����。
