АНАЛІЗ БЕЗПЕКИ ЛАНЦЮГІВ ПОСТАЧАННЯ ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ

Автор(и)

Андрій Скіп Вінницький національний технічний університет https://orcid.org/0009-0009-3334-4145
Юрій Баришев Вінницький національний технічний університет https://orcid.org/0000-0001-8324-8869

DOI:

https://doi.org/10.28925/2663-4023.2025.29.820

Ключові слова:

кібербезпека, захист API, CI/CD, ланцюг постачання ПЗ, аналіз загроз, захист web-застосунків

Анотація

У статті досліджено актуальну проблему забезпечення безпеки програмних інтерфейсів (API) у хмарних середовищах в контексті захисту ланцюгів постачання програмного забезпечення. Враховуючи поширення мікросервісних архітектур та відкритих REST/GraphQL API, питання захисту API від атак набуло критичної важливості. Наведено формалізацію ланцюга постачання програмного забезпечення. На основі цієї моделі проведено аналіз потенційних векторів атак на кожному з етапів програмного ланцюга постачання — від компрометації репозиторіїв, залежностей і CI/CD-серверів до сховищ артефактів і середовищ розгортання. Особливу увагу приділено аналізу двох ключових механізмів захисту — Web Application Firewall (WAF) і API Gateway. У статті представлено порівняльний аналіз їх функціональності, підходів до обробки запитів, рівнів безпеки, методі в журналювання та інтеграції у хмарну інфраструктуру. Визначено, що WAF ідентифікує та блокує атаки на HTTP-рівні, зокрема SQL-ін’єкції, XSS, CSRF, на основі сигнатур або поведінкових правил. Натомість API Gateway виконує роль шлюзу, керує маршрутизацією, автентифікацією та авторизацією запитів, впроваджує політики доступу та надає контроль над API-викликами. Результати дослідження демонструють, що WAF та API Gateway не є взаємозамінними, а повинні застосовуватись як взаємодоповнюючі компоненти. Запропоновано комбіновану модель захисту API в хмарі, де WAF забезпечує периметральний контроль, а API Gateway – логічний контроль доступу. У статті також наведено методи оцінювання ефективності цих механізмів: емпіричні випробування в тестових середовищах, порівняльні бенчмарки з різними конфігураціями, а також аналітичне моделювання загроз. У результаті сформульовано низку нерозв’язаних задач і напрямів для подальших наукових досліджень у сфері захисту API та CI/CD у хмарних середовищах.

Завантаження

Дані завантаження ще не доступні.

Посилання

Türetken B. Enhancing security with cloud-based API management : Dissertation. Stockholm, 2024. 83 p. URL: https://www.diva-portal.org/smash/get/diva2:1903654/FULLTEXT01.pdf (date of access: 07.05.2025).

Dasher J. Why do I need API security if I have a WAF and API gateway?. cequence.ai. URL: https://www.cequence.ai/blog/api-security/why-do-i-need-api-security-if-i-have-a-waf-and-api-gateway (date of access: 07.05.2025).

McNaught B. API security best practices. ISC2. URL: https://www.isc2.org/Insights/2023/08/api-security-best-practices-in-the-hybrid-multi-cloud-digital-world#:~:text=were%20four%20key%20approaches:%20Web,going%20to%20be%20the%20converse” (date of access: 07.05.2025).

Cosgrove J., Andreev I. A. Protecting GraphQL APIs from Malicious Queries. The Cloudflare Blog. URL: https://blog.cloudflare.com/protecting-graphql-apis-from-malicious-queries/ (date of access: 07.05.2025).

What is a CI/CD pipeline?. Red Hat - We make open source technologies for the enterprise. URL: https://www.redhat.com/en/topics/devops/what-cicd-pipeline (date of access: 07.05.2025).

GitLab. What is a code review?. The most-comprehensive AI-powered DevSecOps platform | GitLab. URL: https://about.gitlab.com/topics/version-control/what-is-code-review/ (date of access: 07.05.2025).

Khanas M. L., Baranovskyi O. M. The Current State of Kubernetes Security: Utilization of Existing Tools and Approaches for Penetration Testing. XXI All-Ukrainian Scientific and Practical Conference for Students, Postgraduates, and Young Scientists "Theoretical and Applied Problems of Physics, Mathematics, and Informatics": conference proceedings, Kyiv, May 11–12, 2023. Kyiv, 2023.

Alghawli A. S. A., Radivilova T. Resilient cloud cluster with DevSecOps security model, automates a data analysis, vulnerability search and risk calculation. Alexandria Engineering Journal. 2024. Vol. 107. P. 136–149. URL: https://doi.org/10.1016/j.aej.2024.07.036 (date of access: 23.05.2025).

Design of mechanisms for ensuring the execution of tasks in project planning / O. Mulesa et al. Eastern-European Journal of Enterprise Technologies. 2023. Vol. 2, no. 4 (122). P. 16–22. URL: https://doi.org/10.15587/1729-4061.2023.277585 (date of access: 23.05.2025).

Development of Secure Containerized Applications with a Microservices Architecture / S. Spasiteleva et al. Cybersecurity: Education, Science, Technique. 2023. Vol. 1, no. 21. P. 193–210. URL: https://doi.org/10.28925/2663-4023.2023.21.193210 (date of access: 23.05.2025).

Novikova D. O. Research on Methods for Securing Software Supply Chains: explanatory note to the qualification thesis of the second (master's) level higher education applicant, specialty 125 Cybersecurity / D. O. Novikova; Ministry of Education and Science of Ukraine, Kharkiv National University of Radio Electronics. – Kharkiv, 2024. – 90 p.

Kivilis Y., Sadhu S. Preventing API breaches using salt security with AWS WAF and amazon API gateway | amazon web services. Amazon Web Services. URL: https://aws.amazon.com/blogs/apn/preventing-api-breaches-using-salt-security-with-aws-waf-and-amazon-api-gateway (date of access: 07.05.2025).

OWASP top 10 API security risks – 2023 - OWASP API security top 10. OWASP Foundation, the Open Source Foundation for Application Security | OWASP Foundation. URL: https://owasp.org/API-Security/editions/2023/en/0x11-t10/ (date of access: 07.05.2025).

Ponaka K. R. API security - protecting the backbone of digital transformation. Journal of mathematical & computer applications. 2023. P. 1–5. URL: https://doi.org/10.47363/jmca/2024(2)e129 (date of access: 07.05.2025).

Anand V. API Security with Apigee and Google Cloud Armor | Google Cloud Blog. URL: https://cloud.google.com/blog/products/api-management/api-security-with-apigee-and-google-cloud-armor (date of access: 07.05.2025).

Downloads

Переглядів анотації: 15

Опубліковано

2025-09-26

Як цитувати

Скіп, А., & Баришев, Ю. (2025). АНАЛІЗ БЕЗПЕКИ ЛАНЦЮГІВ ПОСТАЧАННЯ ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ. Електронне фахове наукове видання «Кібербезпека: освіта, наука, техніка», 1(29), 263–273. https://doi.org/10.28925/2663-4023.2025.29.820