根据云安全联盟（CSA）新的研究显示，商业“软件即服务”应用不是影子云灾难的唯一来源。

CSA在2017年RSA大会上发布题为“自定义应用程序和2017IaaS趋势”的报告显示，企业部署越来越多的自定义应用程序并将其迁移到公有云上，但IT安全团队只知道其中一小部分的应用程序。 IT部门未知的自定义软件程序即被视为影子云应用程序。

该报告与云访问安全代理公司Skyhigh Networks合作进行，调查了300多名直接参与开发、部署和保护定制化企业应用程序的IT专业人员。根据该报告显示，企业平均部署了464个定制化企业应用程序，但IT安全部门仅知道其中的38.4％。

CSA报告还显示，目前在内部数据中心部署的定制企业应用程序中的20％以上将在未来12个月内迁移到公有云中。此外，根据该报告显示，随着公有云采用率的增加，部署在数据中心中的自定义应用程序数量（目前为60.9％）预计将在明年下降至46.2％。

虽然以前对影子云服务的许多关注集中在商业第三方应用和服务（例如Google文档、Office 365和Dropbox）上，但报告声称“现在内部开发了大量的“影子应用程序”，这些都不再IT安全团队的控制下。

Skyhigh的产品和营销高级副总裁Kamal Shah说，定制应用程序开发通常是在特定部门内完成的。他表示，这加重了影子云问题，毕竟对IT安全团队来说，跟踪每个自定义应用程序及其部署都是一个挑战。“几乎每个公司都在用他们自己的定制软件。”

Shah还表示，可以为自定义企业应用程序的开发和测试环境快速创建云实例，这可能会导致更多的应用程序在云中进行开发和部署。“我认为使用公有云让定制应用程序开发变得更加容易，这是好的一面，”他说“未来定制应用程序的数量将不断得到增加”。

CSA首席执行官Jim Reavis在一份声明中说：“企业需要云环境的规模和灵活性，才能在数字经济中保持竞争力，但是这也让数据中心将应用程序置于新的威胁和风险下。虽然IaaS（基础设施即服务）提供商提供安全平台，但我们看到大多数云用户仍旧缺乏像样的工具和专业知识来保护他们在公有云中开发和部署的应用程序”。