ВИКОРИСТАННЯ ПІДХОДУ DEVSECOPS ДЛЯ АНАЛІЗУ СУЧАСНИХ ЗАГРОЗ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
DOI:
https://doi.org/10.28925/2663-4023.2021.14.2635Ключові слова:
DevSecOps; безпека; інформація; загрози; SaaS, SAST, DASTАнотація
У даній статті подано дослідження використання підходу DevSecOps для аналізу сучасних загроз. Визначення методології для реалізації та адаптації DevSecOps підходу. DevSecOps у даній статті подано як підхід до культури розробки, автоматизації та дизайну інформаційної платформи, який інтегрує безпеку як спільну відповідальність протягом усього життєвого циклу розробки програмного забезпечення. Підхід, описаний у даній статті, допомагає вирішити проблему впровадження контролей безпеки в процесі розробки програмного забезпечення. Визначений підхід дозволяє організації постійно вбудовувати безпеку в SDLC, щоб команди DevOps могли швидко та якісно розробляти безпечні програми. Досліджується можливість впровадження безпеки на ранніх етапах розробки програмного забезпечення в робочий процес, так як це дозволить швидше виявити та усунути слабкі та вразливі місця безпеки. Ця концепція є частиною «зміщення ліворуч», яка переміщує тестування безпеки до розробників, що дозволяє їм виправляти проблеми безпеки в своєму коді майже в реальному часі, а не чекати до кінця SDLC, де безпека була закріплена в традиційних середовищах розробки. Описано бізнес процеси для мінімізації ризиків пов’язані з сучасними загрозами та вразливостями нульового дня у рамках DevSecOps підходу. Проведено аналіз SAST (Static Application Security Testing), DAST (Dynamic Application Security Testing), SCA (Software Composition Analysis) застосунків для оцінки можливого використання даних технологій для оптимізації процесу безпечної розробки додатків. Подано процес DevSecOps для організацій, що зможуть легко інтегрувати безпеку в свою існуючу практику безперервної інтеграції та безперервної доставки (CI/CD). DevSecOps процес в даній статті охоплює весь SDLC від планування та проектування до кодування, побудови, тестування та випуску, з безперервним зворотним зв’язком в реальному часі та сформовано технічні контролі процесу DevSecOps у відповідності до ISO 27001/02 та NIST стандартів.
Завантаження
Посилання
Mezak, S. (2018). Data Breaches Compromised 4.5 Billion Records in First Half of 2018.
Smeds, J., Nybom, K., & Porres, I. (2015). DevOps: A Definition and Perceived Adoption Impediments. У Lecture Notes in Business Information Processing (с. 166–177). Springer International Publishing. https://doi.org/10.1007/978-3-319-18612-2_14
Prates, L., Faustino, J., Silva, M., & Pereira, R. (2019). DevSecOps Metrics. У Information Systems: Research, Development, Applications, Education (с. 77–90). Springer International Publishing. https://doi.org/10.1007/978-3-030-29608-7_7
Kumar, R., & Goyal, R. (2020). Modeling continuous security: A conceptual model for automated DevSecOps using open-source software over cloud (ADOC). Computers & Security, 97, 101967. https://doi.org/10.1016/j.cose.2020.101967
Susukailo, V., Opirskyy, I., & Vasylyshyn, S. (2020). Analysis of the attack vectors used by threat actors during the pandemic. У 2020 IEEE 15th International Conference on Computer Sciences and Information Technologies (CSIT). IEEE. https://doi.org/10.1109/csit49958.2020.9321897
Susukailo, V., Vasylyshyn, S., Opirskyy, I., Buriachok, V., Riabchun, O. (2021). Cybercrimes investigation via honeypots in cloud environments. CEUR Workshop Proceedingsthis link is disabled, 2021, 2923, 91–96.
Koskinen, A. (2019). DevSecOps: building security into the core of DevOps.
12 Things to Get Right for Successful DevSecOps. (2019). Gartner. https://www.gartner.com/en/documents/3978490/12-things-to-get-right-for-successful-devsecops
What is DevSecOps and Why Is It Important? | Sumo Logic. (2019). Sumo Logic. https://www.sumologic.com/insight/devsecops-rugged-devops
What is DevSecOps? Forcepoint. https://www.forcepoint.com/cyber-edu/devsecops
DevSecOps Process and Implementation. Software Engineering Institute. https://www.sei.cmu.edu/education-outreach/courses/course.cfm?coursecode=P141
The future of DevSecOps. https://faun.pub/the-future-of-devops-15-trends-for-2021-b3b8c59444ff
What is DevSecOps? https://www.jetbrains.com/ru-ru/teamcity/ci-cd-guide/what-is-devsecops/
