Java开发者渴望容器安全，但不愿承担相应工作

Java开发者在保护容器安全方面仍面临挑战，近一半开发者（48%）表示，他们更愿意将安全工作委托给加固容器的提供商，而不是自己操心容器安全决策。

这一发现来自于提供Liberica JDK的BellSoft公司。该公司提供免费开源的Java SE实现。公司表示，他们在去年的Devoxx大会上对427名开发者进行了调研，形成了《2025年容器安全现状报告》。调研目标是更好地了解开发者在容器、安全、优先级和实践方面的决策。

在选择基础容器镜像时的最重要因素中，受访者将安全性排在首位（29%），其次是性能（21%）、镜像大小（17%）、Java支持（17%）、易用性（11%）、许可证合规性（4%）和其他（1%）。

这一结果可以理解，因为近四分之一的开发者（23%）表示他们在过去一年中经历过与容器相关的安全事件。

然而，这些开发者在软件工具选择上的决定可能正在削弱他们既定的目标。约55%的开发者依赖通用Linux发行版，69%使用通用JDK。BellSoft认为，这类软件因不必要的软件包而显得臃肿，因此与预加固选项相比，需要额外的工作来保护和优化。

如果不是因为人员的不可靠性，这可能还是可控的。根据受访者反馈，62%的容器安全错误来自人为失误，其次是补丁困难（36%）、补丁可用性gap（32%）和扫描工具的误报（29%）。

这些问题因组织时间和资源限制（49%）以及组织优先级不足（36%）而进一步恶化。

受访者展示了处理容器安全的各种方法。这些方法包括依赖可信容器注册表（45%）、漏洞扫描（43%）、软件物料清单（SBOM）生成（18%）、镜像签名（16%）和硬件隔离（6%）。10%的受访者表示他们的组织除了标准工具外没有采取额外的安全措施。

BellSoft首席执行官Alex Belokrylov在声明中表示："在调研的每个部分中，都有一个一致的信息：团队希望获得安全性、效率和简洁性，但他们当前的策略和工具使这很难实现。"

Belokrylov认为，采用加固镜像将安全和维护负担转移给镜像供应商，从而减少维护和成本负担。

BellSoft得出这些发现时，AI工具的广泛使用可能起到了一定作用。

营销副总裁Maria Gladkaya在给媒体的邮件中表示，虽然AI在今年的回复中没有出现，但2024年的调研显示，74%的开发者正在使用AI来编写代码。

Q&A

Q1：Java开发者在容器安全方面面临什么主要挑战？

A：Java开发者在容器安全方面的主要挑战包括：62%的安全错误来自人为失误，还有补丁困难、补丁可用性gap和扫描工具误报等问题。此外，组织时间和资源限制（49%）以及组织优先级不足（36%）进一步加剧了这些问题。

Q2：开发者选择基础容器镜像时最看重什么因素？

A：根据调研结果，开发者在选择基础容器镜像时最重要的因素是安全性（29%），其次是性能（21%）、镜像大小（17%）、Java支持（17%）、易用性（11%）、许可证合规性（4%）和其他因素（1%）。

Q3：开发者采用了哪些容器安全措施？

A：开发者采用的容器安全措施包括：依赖可信容器注册表（45%）、漏洞扫描（43%）、软件物料清单生成（18%）、镜像签名（16%）和硬件隔离（6%）。不过，仍有10%的组织除了标准工具外没有采取额外的安全措施。