DevSecOps : building security into the core of DevOps
Hienostuneiden ja nopeatahtisten kyberhyökkäysten jatkuvasti lisääntyvä määrä aiheuttaa haasteita tietoturvallisuuden parissa työskenteleville. Miten uudistuvassa toimintaympäristössä pystytään ehkäisemään haavoittuvuuksia, havaitsemaan hyökkäyksiä ja reagoimaan tietoturvaongelmiin tehokkaasti? Samaan aikaan toisenlainen aikapaine vaivaa ohjelmistojen kehittäjiä: liiketoimintavaatimusten vuoksi ohjelmistoja halutaan julkaista yhä nopeammalla tahdilla. Miten tietoturva varmistetaan kiivaassa kehityssyklissä? DevOps on viime vuosina saavuttanut vankan aseman ohjelmistojen kehittämismetodina ja sen mahdollistama jatkuva integrointi saa yritykset työntämään uusia järjestelmäversioita tuotantoon jopa satoja kertoja päivässä. Nopeassa kehityssyklissä tärkeäksi kysymykseksi nousee, miten voidaan varmistaa ohjelmistojen tietoturva yhtä nopealla tahdilla. Tässä työssä tarkasteltiin systemaattisen kirjallisuuskatsauksen kautta, miten tietoturvaa parantavia aktiviteetteja voidaan lisätä DevOps-kehittämisprosesseihin, jotta kehittämismenetelmässä päästäisiin todelliseen DevSecOps-malliin malliin, johon kehittämisen (Dev) ja ylläpidon (Ops) olisi integroitu myös tietoturva (Sec). Työssä tutkittiin 18 eri akateemisen artikkelin näkemystä siitä, mitä tietoturva-aktiviteetteja DevOps-prosessissa voidaan käyttää sekä mitä haasteita DevOps asettaa tietoturvalle. Viitekehyksenä työssä käytettiin BSIMM-mallia (Building Security In Maturity Model), jonka avulla kartoitettiin turvallisuusaktiviteettien esiintymistä tutkimuksessa. Tutkimuskirjallisuutta tarkasteltiin myös DevOpsin neljän periaatteen (kulttuurin, automaation, mittaamisen ja jakamisen) kautta. Tuloksena huomattiin, että nykytutkimus keskittyy pitkälti DevOps-infrastuktuurissa käytettyjen teknologioiden (esim. konttitekniikat, kehitysputki ja pilvi-infrastruktuuri) turvaamiseen. DevOpsin turvallisuushaasteista tutkimus havaitsi suurimmiksi kehitysympäristön turvaamisen, turvallisuuden ja nopeiden toimitusten tasapainottamisen sekä niin sanotun sisäisen uhan (eli työntekijäväärinkäytösten) lisääntymisen mahdollisuuden. Lisäksi tutkimus havaitsi, että tutkijoiden kesken vallitsee edelleen erilaisia näkemyksiä siitä, mitä DevOps on, sillä DevOpsin perusperiaatteet ilmenevät heikosti nykytutkimuksesta. Tutkimus antaa yleiskuvan turvallisen DevOps-kehittämisen nykytutkimuksesta, edesauttaa DevSecOps-tyylistä kehittämistä sekä tuo esiin tutkimusaukkoja tulevien tutkijoiden tutkittaviksi.
...
The constantly growing rate of sophisticated, high-speed cyber-attacks brings new challenges to the people working in cyber defense. How can security prevent vulnerabilities, detect attacks in real time and respond to security incidents effectively? At the same time further down the development pipeline, another kind of time pressure is felt by software developers: business needs are constantly pressing for faster software release cycles. How can security be properly addressed in the ever-increasing pace of modern software development? In the last decade, DevOps has grown steadily as a software development method and its ability to deploy products constantly has made organizations deploy applications up to hundreds of times per day. In the rapid-fire development life cycles, the question becomes, how can security be ensured at the same pace? This Thesis used a Systematic Literature Review to discover how security activities can be added into the core of DevOps development process in order to evolve the development methodology into DevSecOps, i.e., a development methodology that encompasses not only Development (Dev) and Operations (Ops) but also Security (Sec). The research looked at 18 different articles to understand how security activities can be used in DevOps processes as well as what challenges DevOps brings to security. The Building Security In Maturity Model (BSIMM) was used as a framework to chart the activities described in the academic research. The research literature was also reviewed through the four principles of DevOps: Culture, Automation, Measurement and Sharing (CAMS). As a result, it was found that the available research focuses heavily on securing the technologies frequently used in DevOps infrastructures (e.g., containers, development pipelines and cloud infrastructures). Looking at the challenges of security in DevOps, the research found the biggest challenges to be securing the deployment pipeline, balancing security with fast deliveries, as well as combating insider threat. The research also concluded that there are still many conflicting views on what DevOps is, which is shown by the DevOps principles not being reflected in the current research. The research gives an overview of the current state of research of security activities in DevOps, paves the way for DevSecOps style software development and brings forth research gaps for further researchers to explore.
...
Asiasanat
Metadata
Näytä kaikki kuvailutiedotKokoelmat
- Pro gradu -tutkielmat [29740]
Lisenssi
Samankaltainen aineisto
Näytetään aineistoja, joilla on samankaltainen nimeke tai asiasanat.
-
Secure software design and development : towards practical models for implementing information security into the requirements engineering process
Väyrynen, Aino-Maria; Räisänen, Elina (2020)Vaatimusmäärittelyprosessin tavoitteena on kerätä ja jalostaa ratkaisuiksi tuotteen tai palvelun sidosryhmiksi tunnistettujen osapuolten ajatuksia ja tarpeita. Näiden ratkaisujen avulla poistetaan asiakkaan liiketoiminnassa ... -
The Place and Role of Security Patterns in Software Development Process
Mazhelis, Oleksiy; Naumenko, Anton (Insticc press, 2006)Security is one of the key quality attributes for many contemporary software products. Designing, developing, and maintaining such software necessitates the use of a secure-software development process which specifies how ... -
ISO 27001 information security management standard’s implementation in software development environment : a case study
Ojalainen, Anniina (2020)ISO 27001 -tietoturvastandardi ohjaa organisaatiot arvioimaan ja dokumentoimaan tietoturvaprosessejaan. Tietoturvastandardeja on kritisoitu pelkkien prosessien olemassaoloon keskittymiseen prosessien sisällöllisten seikkojen ... -
Selection of open-source web vulnerability scanner as testing tool in continuous software development
Riepponen, Mika (2024)Tietoturva on kriittinen osa web sovelluksia ja haavoittuvuudet tulisi ennaltaehkäistä tai tunnistaa sekä korjata mahdollisimman aikaisin ohjelmiston kehitysprosessissa. Tämän tutkimuksen tarkoitus on määrittää kuinka hyvin ... -
Towards a Security Competence of Software Developers : A Literature Review
Assyne, Nana (IGI Global, 2020)Software growth has been explosive as people depend heavily on software on daily basis. Software development is a human-intensive effort, and developers' competence in software security is essential for secure software ...
Ellei toisin mainittu, julkisesti saatavilla olevia JYX-metatietoja (poislukien tiivistelmät) saa vapaasti uudelleenkäyttää CC0-lisenssillä.