云服务器代码管理的未来：人工智能、机器学习和自动化 (云服务器代码代码扫描了怎么取消)

云服务器代码管理是开发和维护云应用程序至关重要的一部分。随着云服务器的日益普及，对能够高效管理代码的工具的需求也在不断增长。人工智能（AI）、机器学习（ML）和自动化等技术在帮助我们提高云服务器代码管理的效率和准确性方面发挥着越来越重要的作用。

人工智能

人工智能是一种使计算机系统能够执行传统上需要人类智能的任务（例如学习、解决问题）的能力。在云服务器代码管理中，AI 可用于：

• 自动代码审查：AI 驱动的工具可以扫描代码并识别潜在问题，例如安全漏洞、性能瓶颈和代码风格违规。这可以帮助开发人员及早发现并修复问题，从而节省时间和提高代码质量。
• 优化代码性能：AI 可以分析代码并推荐改进性能的更改。这可以帮助开发人员创建运行更快的应用程序，从而改善用户体验。例如，AI 可以识别重复的代码段并建议将其重构为更有效的实现。
• 代码重构：AI 可以自动重构代码以使其更易于维护和可读。这可以帮助开发人员节省时间并专注于更重要的任务。

机器学习

机器学习是一种人工智能类型，它使计算机系统能够从数据中学习，而无需明确编程。在云服务器代码管理中，ML 可用于：

• 预测代码缺陷：ML 模型可以从代码历史数据中学习，以预测未来代码缺陷。这可以帮助开发人员优先考虑修复工作，并减少应用程序中的错误数量。
• 推荐最佳实践：ML 模型可以识别代码库中的最佳实践并推荐给开发人员。这可以帮助开发人员编写符合行业标准并易于维护的代码。
• 自动代码生成：ML 模型可以学习代码模式并自动生成新的代码。这可以帮助开发人员节省时间并专注于更具创造性的任务。例如，ML 模型可以根据给定的规范生成测试用例。

自动化

自动化涉及使用计算机系统执行通常由人类执行的任务。在云服务器代码管理中，自动化可用于：

• CI/CD 管道：自动化 CI/CD 管道可以构建、测试和部署代码，而无需人工干预。这可以帮助开发人员更快、更频繁地交付高质量的软件。
• 基础设施管理：自动化基础设施管理工具可以配置和管理云服务器基础设施，例如虚拟机、存储和网络。这可以帮助开发人员节省时间并专注于应用程序本身。
• 安全扫描：自动化安全扫描工具可以定期扫描代码并识别潜在的安全漏洞。这可以帮助开发人员及早发现和修复安全问题，从而使应用程序更安全。

取消云服务器代码扫描

要取消云服务器代码扫描，请按照以下步骤操作：

1. 转到 Google Cloud Platform (GCP) 控制台。
2. 选择您的项目。
3. 在边栏菜单中，选择
   
   Cloud Build
   
   。
4. 选择要取消扫描的触发器。
5. 在“触发器详细信息”页面中，单击“编辑触发器”。
6. 在“高级选项”部分中，取消选中“启用源代码扫描”复选框。
7. 单击“保存”。

禁用触发器的源代码扫描后，将不再对该触发器生成的新构建执行扫描。

结论

AI、ML 和自动化正在改变云服务器代码管理领域。这些技术使我们能够提高代码管理的效率和准确性，并释放开发人员的时间专注于更重要的任务。随着这些技术的不断发展，我们可以期待在云服务器代码管理中使用越来越多的创新应用程序。这将有助于我们构建更高质量、更安全的应用程序，并加快软件开发过程。

Cloudflare 2024 年 API 安全和管理报告

Cloudflare，全球近20%的网站背后的支撑力量，其作用远不止于此。

实际上，超过网络流量的一半是动态的，而非网页，而是应用程序编程接口(API)的流量。

为了深入探讨如何保护客户，以及API安全的未来趋势，我们编写了《2024年API安全和管理报告》。

不同于其他行业报告，我们的报告基于真实流量数据，而非用户调查。

今年的报告揭示了一个关键发现：很多企业和组织未能准确掌握API端点清单，即使他们自认为能够正确识别API流量。

Cloudflare提供两种方法帮助企业发现所有面向公众的API。

首先，客户配置API发现工具监控已知API流量中包含的识别令牌。

其次，使用机器学习模型扫描已知API调用和所有HTTP请求，以识别可能未被记录的API流量。

这种方法比自行报告的方法多出约30.7%的端点，表明近三分之一的API是“阴影API”，可能未得到适当的监控和保护。

要深入了解我们的API安全报告，请继续阅读。

报告将包含我们阻止的威胁更新统计数据，以及我们对2024年的预测。

预计企业对API安全的忽视将导致复杂性和失控增加，尤其是随着生成式AI访问的增加，API风险也会增加。

我们预测2024年API业务逻辑攻击将增多，同时围绕API安全的监管会加强。

隐藏的攻击面API与网页有何不同？API允许应用程序在后台快速轻松地检索数据或请求其他应用程序执行工作。

例如，任何人都可以开发一个天气应用，无需成为气象学家，只需编写页面或移动应用的结构，并使用用户的位置请求天气API获取预报。

关键在于，大多数终端用户并不知道数据是由天气API提供的，而不是应用的所有者。

API是互联网的关键基础设施，但也容易被滥用。

例如，Optus在API身份验证和授权上的漏洞让一位威胁行为者获取了1000万个用户记录。

政府机构已经就这些具体的API攻击发出警告。

企业中的开发人员经常创建面向互联网的API，供他们自己的应用程序使用以提高运行效率，但保护这些新的公共接口是安全团队的责任。

如果记录API并使其引起安全团队注意的过程不明确，它们就会变成“阴影API”，在生产环境中运行但组织毫不知情。

这就是安全挑战开始出现的地方。

为了帮助客户解决这个问题，我们推出了API发现工具。

通过基于机器学习的API发现和网络流量检查相结合的方式，我们创建了一份全面准确的API清单。

这对我们的API网关产品至关重要，以帮助客户管理面向互联网的端点并监控API的运行状况。

API网关还允许客户使用会话标识符（通常是标头或cookie）来识别API流量，这有助于在发现过程中识别特定API流量。

我们的分析显示，即使是知识丰富的客户也经常忽略其API流量中很大一部分。

比较基于会话的API发现和基于机器学习的API发现，我们发现后者的端点平均多出30.7%！如果没有广泛的流量分析，您可能会漏掉几乎三分之一的API清单。

精确的速率限制可以最大程度减少遭受攻击的可能性防止滥用，大多数API从业者会考虑实施速率限制。

在您的API上实施速率限制非常有用，可以控制滥用行为并防止源服务器的意外过载。

但如何知道您选择的速率限制方法是否正确呢？方法可能各不相同，但通常归结为所选择的错误代码，以及限制值本身的依据。

对于一些API，从业者会配置速率限制错误以返回HTTP 403（禁止）响应，而其他则会返回HTTP 429（请求过多）。

使用HTTP 403似乎没有问题，直到您意识到其他安全工具也在用403代码响应。

当您遭受攻击时，要弄清楚哪些工具负责哪些错误/阻止就可能会变得很困难。

如果使用HTTP 429来响应速率限制，攻击者会立刻知道他们已经受到速率限制，并能刚好保持在限制水平下而不被发现。

如果您只是为了确保后端系统稳定而限制请求，这样做或许没问题，但它可能会向攻击者透露您的策略。

此外，攻击者可以“扩展”到更多API客户端，从而成功进行超过速率限制的请求。

两种方法都各有利弊，但我们发现到目前为止，在所有4xx和5xx错误信息中，大多数API都以HTTP 429响应（接近52%）。

除了使用响应码外，速率限制规则本身的情况如何呢？实施基于IP地址的请求限制可能很有诱惑力，但我们建议您将基于会话ID的限制作为最佳实践，并仅在没有会话ID时才回退到IP地址（或IP+JA3指纹）。

基于用户会话而非IP设置速率限制，将能可靠地识别您的真实用户，并最大程度减少由于共享IP空间而导致的误报。

Cloudflare的高级速率限制和API网关提供容量滥用保护，通过分析每个API端点的会话流量来实施限制，并为设置每个端点的速率限制提供一键式解决方案。

为了确定您的速率限制值，Cloudflare API网关会根据您的会话请求统计数据进行计算。

按照客户配置的API会话标识符，我们识别到您的API的所有会话，观察每个会话的请求分布情况，建议一个限制值。

然后，我们针对这个分布上的p50、p90和p99计算统计p值（描述不同流量分组的请求率），并使用该分布的方差来产生API清单中每个端点的推荐阈值。

推荐值可能与p值不一致，这是一个重要的区别，也是不单独使用p值的原因。

除了推荐值，API网关还会告知用户我们对推荐值的信心。

通常情况下，我们能收集到的API会话越多，我们对推荐值的信心就越足。

激活速率限制非常简单，仅需点击“创建规则”链接，API网关会自动将您的会话标识符带到高级速率限制规则创建页面，确保您的规则具有高度准确性，以有效防御攻击并最大程度减少误报（与过于宽泛的传统限制相比）。

API也会受到Web应用攻击的侵害API也不能幸免于常见的OWASP Top 10攻击，例如SQL注入。

API请求的正文内容也可能像网页表单输入或URL参数一样成为数据库输入。

重要的是，确保您的Web应用程序防火墙(WAF)也保护您的API流量，以防这些类型的攻击。

实际上，当我们查看Cloudflare的WAF托管规则时，发现注入攻击是Cloudflare观察到的针对API的第二大常见威胁手段。

最常见的威胁是HTTP异常。

HTTP异常的例子包括方法名格式错误、标头中的空字符、非标准端口，或者POST请求的内容长度为零。

以下是我们观察到针对API的其他主要威胁的统计数据：我们没有在图中显示身份验证和授权失败。

身份验证和授权失败是指API未能核实发出信息请求的实体是否确实有权限请求那些数据。

另一种情况是，攻击者试图伪造凭据并将限制较少的权限插入到具有更多受限权限的现有（有效）凭据。

OWASP将这些攻击分为几种不同的类型，但主要类别是对象级授权失效(BOLA)和函数级授权失效(BFLA)攻击。

BOLA/BFLA攻击得以成功的根本原因在于，源API没有对请求这些记录的身份检查数据库记录的正确所有权。

追踪这些特定的攻击可能很困难，因为权限结构可能根本不存在、不充分或实施不当。

您能看出这里先有鸡还是先有蛋的问题吗？如果我们知道正确的权限结构，阻止这些攻击将会很容易，但如果我们或我们的客户知道正确的权限结构或能保证其执行，那么这些攻击从一开始就不会成功。

敬请期待我们未来的API网关功能发布，届时我们将利用对API流量常态的了解，自动建议安全策略，以发现并阻止BOLA/BFLA攻击。

即使您没有可用的细粒度授权策略，仍有四种方法堵塞您的API中可能存在的身份验证漏洞：API现在更多是由人驱动的，而不是机器如果您从智能手机出现之前、上网的人还较少的时候就开始接触技术，您可能会不禁认为API仅仅被用于机器与机器之间的通信，例如夜间的批处理作业。

然而，事实完全不是那样。

正如我们所讨论的，许多Web和移动应用都是由API驱动的，它们支持从身份验证到交易再到媒体文件服务的各种事务。

随着人们使用这些应用，API流量也在相应增加。

我们可以通过观察节假日期间的API流量模式来展示这一点。

在节假日期间，人们聚集在朋友和家人身边，花更多的时间进行面对面的社交活动，减少上网时间。

我们在下面的全球API流量图表上标注了常见的节假日和促销活动。

请注意，在黑色星期五和网络星期一期间，当人们在线购物时，流量会在+10%的水平左右达到高峰，但在圣诞节和元旦期间，流量出现下降。

这种模式与我们在常规HTTP流量中观察到的模式非常相似。

显然，API不再仅仅是自动化过程的领域，而是与人类行为和社会趋势密切相关。

关于API安全防御的一些建议全面的API安全并没有万能的解决方案。

为了达到最佳效果，Cloudflare推荐四种策略来改善API的安全态势：我们所说的“正面”或“负面”安全模式是什么意思？在负面模式中，安全工具寻找已知的攻击迹象并采取行动阻止这些攻击。

在正面模式中，安全工具寻找已知的合法请求并只允许这些请求通过，阻止所有其他请求。

API通常采取结构化方式，采用正面安全模式以达到最高级别的安全性合情合理。

您也可以结合使用不同的安全模式，比如以负面模式使用WAF（Web应用程序防火墙），并以正面模式使用API模式验证。

这里有一种快速评估企业及组织API安全成熟度级别的方法：新手从编制他们的第一个API清单开始，无论多么不完整。

更成熟的企业及组织将努力实现API清单的准确性和自动更新。

最成熟的企业及组织会在他们的API上通过正面安全模式积极执行安全检查，贯彻执行API模式，有效身份验证，并检查滥用行为的迹象。

有关API的一些预测最后，我们对2024年及以后有如下一些预测：失控程度和复杂性增加：我们调查了API安全与管理领域的从业者，73%的受访者表示安全要求干扰了他们的生产力和创新。

日益庞杂叠加的应用程序和不准确的清单，API的风险和复杂性将会增加。

AI越来越广泛的使用更容易带来更多API风险：生成式AI的兴起带来潜在风险，包括：AI模型的API容易受到攻击，以及开发人员发布带有缺陷、由AI编写的代码。

Forrester预测，在2024年，如果没有适当的安全措施，“至少会有三起数据泄露事件将被公开归咎于不安全的AI生成代码——要么因为生成的代码本身存在安全缺陷，要么因为AI建议的依赖关系存在漏洞。

”基于业务逻辑的欺诈攻击增加：职业诈骗者像经营企业一样运作他们的诈骗活动，他们也有像其他任何业务一样的成本。

我们预计攻击者将会比过去几年更频繁地针对API运行欺诈机器人。

监管加码：PCI DSS直接针对API安全的第一个版本将于2024年3月生效。

请与您的审计部门查看您所在行业的具体要求，以便在新要求生效时做好准备。

如果您对完整报告感兴趣，请留意我们近期的后续更新。

Cloudflare API网关是我们的API安全解决方案，面向所有Enterprise客户提供。

如果您没有订阅API网关，点击这里在Cloudflare仪表板中查看您的首次API发现评估结果并开始试用。

要了解如何使用API网关保护您的流量，请点击这里查看我们的开发文档，点击这里查看我们的入门指南。

我们保护整个企业网络，帮助客户高效构建互联网规模应用，加速任何网站或互联网应用，抵御DDoS攻击，阻止黑客，并为您的Zero Trust之旅提供协助。

从任何设备访问1.1.1.1，使用我们的免费应用加速和保护您的互联网。

云服务器能做什么

云服务器（Elastic Compute Service, ECS），作为一种高效、安全、灵活的计算服务，具有广泛的应用场景。

以下是云服务器能够执行的一些主要功能和应用：弹性扩展：云服务器可以根据业务需求进行弹性扩展，即根据负载情况自动增加或减少计算资源，如CPU、内存和存储空间，以满足业务增长或应对突发流量。

数据存储与备份：云服务器提供可靠的数据存储服务，支持海量数据的存储，并具备数据备份和恢复功能，确保数据的安全性和完整性。

开发与测试环境：为开发人员提供快速、灵活的环境，用于创建和部署应用程序的开发和测试环境，加速软件开发周期。

网站和应用托管：云服务器可用于托管网站、在线应用和游戏服务器等，提供稳定、高效的服务，支持高并发访问和数据处理。

人工智能与机器学习：云服务器在AI和机器学习领域发挥着重要作用，提供强大的计算能力和存储资源，支持复杂的算法训练和数据分析。

虚拟化和容器化：支持虚拟机和容器的创建与管理，实现资源的灵活分配和高效利用。

网络功能与安全：云服务器通过云服务提供商的网络基础设施进行连接，支持多种网络功能，如负载均衡、安全组配置等，确保数据传输的安全性和可靠性。

灾难恢复与业务连续性：通过在不同地理位置的数据中心复制数据和应用程序，云服务器提供灾难恢复和业务连续性服务，确保在灾难发生时能够迅速恢复业务运营。

综上所述，云服务器凭借其弹性扩展、数据安全、高效开发、稳定托管、智能支持、灵活虚拟化、网络功能强大以及灾难恢复能力强等特点，在各个领域发挥着重要作用。

云计算未来将是怎样的发展趋势？

2020年以后5种云计算发展趋势：

1.边缘计算

云边缘是由功能强大的服务器和快速存储组成的本地化数据中心或服务存在点。

云提供商将应用程序和许多其他活动作业的负载抵消到云边缘状态。

这引入了快速处理，低延迟和超快速的数据传输。

通过处理苛刻的终结点任务并将数据顺序传输回云，边缘几乎充当了云的缓存平台。

边缘计算从云提供商的基础架构释放了大量处理能力-带宽使用量直线下降。

2.云自动化

从2020年及以后，将越来越依赖于人工智能和机器学习（AI/ML）来推动云自动化决策。

AI/ML可以大规模地自动执行例行的，可重复的任务，与人工操作员相比，可以非常快速地完成。

具体的用例可能是广泛的日志分析。

AI/ML例程吸收大量的日志信息，寻找趋势并分析结果。

这可用于预测服务器组件故障或应用程序崩溃的原因。

由于可以根据预测的基础架构需求做出准确的预测，因此容量规划可从云自动化中受益匪浅。

3.行业优化的云

全球各地的组织正在迅速迁移到云中。

这推动了为特定行业提供量身定制的云服务产品的趋势。

这通常适用于目标严格的行业，例如医疗保健，金融和法律部门。

一些云服务提供商拥有与行业相关的消耗性云平台，这些平台已符合美国相关法规。

外包业务只需选择合适的提供商即可开始使用符合行业标准的服务。

4.混合云策略

2020年出现的另一个关键趋势是，所有CIO都希望成为一个乌托邦式的工作空间，成为技术中立的云消费者。

理想情况下，企业应将核心业务服务分布在多个云提供商之间，以显着降低停机或长时间停机的风险。

5.容器化

2020年容器的普及对于云而言尤其重要。

自2013年Docker和2014 年发布Kubernetes以来，容器的使用量激增。

许多云提供商现在拥有自己的容器应用引擎，这些引擎作为可消费的云服务出售。

系统管理员不再需要担心构建虚拟机和底层基础结构。