DOI: https://doi.org/10.20998/2079-0023.2020.01.12

АНАЛІЗ МЕТОДОЛОГІЇ DEVSECOPS В ПРОЦЕСАХ РОЗРОБКИ ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ

Andrii Oleksandrovich Hapon, Volodymyr Mykolayovych Fedorchenko, Andrii Oleksandrovich Polyakov, Valeriy Yuriyovich Volovshchykov, Viktor Alexeevich Guzhva

Анотація


Предметом дослідження в статті є методологія розробки і захисту програмного забезпечення в рамках DevSecOps. Дана методологія змінила підхід до забезпечення безпеки з реактивного на проактивний, а також підкреслює важливість забезпечення безпеки на всіх рівнях організації. DevSecOps означає забезпечення безпеки в розробці додатків від самих ранніх етапів до самого кінця, а також включає в себе ав томатизацію деяких шлюзів безпеки, щоб запобігти уповільнення робочого процесу DevOps. Необхідно підтримувати короткі і часто повторювані цикли розробки програмного продукту, а також інтегрувати заходи безпеки. Вибір правильних інструментів для безперервної інтеграції безпеки може допомогти в досягненні цих цілей. Сучасні інструменти автоматизації допомогли організаціям впровадити більш гнучкі методи розробки, а також зіграли свою роль в розробці нових заходів безпеки. Для ефективного захисту DevOps потрібні не тільки нові інструменти, а й зміни в самій організації процесів DevOps, щоб швидше інтегрувати роботу груп фахівців з безпеки з іншими спеціалістами, що призведе до покращення якості продукту. Стаття присвячена детальному аналізу сучасних підходів і методологій систематизації розробки та захисту програмного забезпечення, серед яких SDLC, BSIMM і OpenSAMM. Мета роботи – класифікація підходів до побудови процесів DevSecOps, а також розгляд методологій систематизації існуючих засобів захисту програмного забезпечення, що забезпечують взаємодію команди розробників і фахівців із захисту інформації в рамках одного життєвого циклу розробки. У статті вирішуються наступні завдання: розгляд і аналіз підходів побудови процесів DevSecOps і розгляд методологій систематизації засобів захисту програмного забезпечення. Отримані наступні результати: проаналізовано необхідні складові для побудови DevSecOps процесів. Висновки: проведений аналіз дозволяє класифікувати процес розробки і захисту програмного забезпечення за допомогою методології DevSecOps.

Ключові слова


DevSecOps; Application security; Infrastructure security; SDLC; BSIMM; OpenSAMM

Повний текст:

PDF

Посилання


ITFB. URL: https://itfb.com.ua/chto-takoe-devsecops (access date: 2.11.2019).

System-Admins. URL: https://system-admins.ru/razrabotkazashhishhennyx-prilozhenij-s-pomoshhyu-devsecops (access date: 4.11.2019).

Antimalware. URL: https://www.antimalware.ru/analytics/Technology_Analysis/what-is-devsecopsdeveloping-more-secure-applications#part5 (access date: 2.11.2019).

Newcontext. URL: https://www.newcontext.com/what-is-devsecops (access date: 2.11.2019).

Forcepoint. URL: https://www.forcepoint.com/cyber-edu/endpointsecurity (access date: 10.11.2019).

Habr. URL: https://habr.com/ru/company/nix/blog/271575 (access date: 12.11.2019).

IGI-Global. URL: https://www.igi-global.com/chapter/managingcompliance-with-an-information-security-managementstandard/112547 (access date: 15.11.2019).

Secureworks. URL: https://www.secureworks.com/blog/cybersecurity-vs-network-security-vs-information-security (access date: 4.11.2019).

Microsoft. URL: https://docs.microsoft.com/en-us/previousversions/ms995349(v=msdn.10)?redirectedfrom=MSDN (access date: 20.11.2019).

BSIMM. URL: https://www.bsimm.com/about.html (access date: 23.11.2019).

Synopsys. URL: https://www.synopsys.com/software-integrity/resources/knowledge-database/what-is-bsimm.html (access date: (20.11.2019).

Habr. URL: https://habr.com/ru/company/oleg-bunin/blog/448488 (access date: 20.11.2019).

OpenSAMM. URL: https://opensamm.org/downloads/SAMM-1.0- en_US.pdf (access date: 20.11.2019).

Hack2Secure. URL: https://www.hack2secure.com/blogs/summarizing-open-software-assurance-maturity-model-opensammrequirements (access date: 21.11.2019).

DevSecOps Whitepaper. URL: https://www.devseccon.com/wpcontent/uploads/2017/07/DevSecOps-whitepaper.pdf (access date: 23.11.2019).