DevSecOps : building security into the core of DevOps

Abstract

Hienostuneiden ja nopeatahtisten kyberhyökkäysten jatkuvasti lisääntyvä määrä aiheuttaa haasteita tietoturvallisuuden parissa työskenteleville. Miten uudistuvassa toimintaympäristössä pystytään ehkäisemään haavoittuvuuksia, havaitsemaan hyökkäyksiä ja reagoimaan tietoturvaongelmiin tehokkaasti? Samaan aikaan toisenlainen aikapaine vaivaa ohjelmistojen kehittäjiä: liiketoimintavaatimusten vuoksi ohjelmistoja halutaan julkaista yhä nopeammalla tahdilla. Miten tietoturva varmistetaan kiivaassa kehityssyklissä? DevOps on viime vuosina saavuttanut vankan aseman ohjelmistojen kehittämismetodina ja sen mahdollistama jatkuva integrointi saa yritykset työntämään uusia järjestelmäversioita tuotantoon jopa satoja kertoja päivässä. Nopeassa kehityssyklissä tärkeäksi kysymykseksi nousee, miten voidaan varmistaa ohjelmistojen tietoturva yhtä nopealla tahdilla. Tässä työssä tarkasteltiin systemaattisen kirjallisuuskatsauksen kautta, miten tietoturvaa parantavia aktiviteetteja voidaan lisätä DevOps-kehittämisprosesseihin, jotta kehittämismenetelmässä päästäisiin todelliseen DevSecOps-malliin  malliin, johon kehittämisen (Dev) ja ylläpidon (Ops) olisi integroitu myös tietoturva (Sec). Työssä tutkittiin 18 eri akateemisen artikkelin näkemystä siitä, mitä tietoturva-aktiviteetteja DevOps-prosessissa voidaan käyttää sekä mitä haasteita DevOps asettaa tietoturvalle. Viitekehyksenä työssä käytettiin BSIMM-mallia (Building Security In Maturity Model), jonka avulla kartoitettiin turvallisuusaktiviteettien esiintymistä tutkimuksessa. Tutkimuskirjallisuutta tarkasteltiin myös DevOpsin neljän periaatteen (kulttuurin, automaation, mittaamisen ja jakamisen) kautta. Tuloksena huomattiin, että nykytutkimus keskittyy pitkälti DevOps-infrastuktuurissa käytettyjen teknologioiden (esim. konttitekniikat, kehitysputki ja pilvi-infrastruktuuri) turvaamiseen. DevOpsin turvallisuushaasteista tutkimus havaitsi suurimmiksi kehitysympäristön turvaamisen, turvallisuuden ja nopeiden toimitusten tasapainottamisen sekä niin sanotun sisäisen uhan (eli työntekijäväärinkäytösten) lisääntymisen mahdollisuuden. Lisäksi tutkimus havaitsi, että tutkijoiden kesken vallitsee edelleen erilaisia näkemyksiä siitä, mitä DevOps on, sillä DevOpsin perusperiaatteet ilmenevät heikosti nykytutkimuksesta. Tutkimus antaa yleiskuvan turvallisen DevOps-kehittämisen nykytutkimuksesta, edesauttaa DevSecOps-tyylistä kehittämistä sekä tuo esiin tutkimusaukkoja tulevien tutkijoiden tutkittaviksi.

The constantly growing rate of sophisticated, high-speed cyber-attacks brings new challenges to the people working in cyber defense. How can security prevent vulnerabilities, detect attacks in real time and respond to security incidents effectively? At the same time further down the development pipeline, another kind of time pressure is felt by software developers: business needs are constantly pressing for faster software release cycles. How can security be properly addressed in the ever-increasing pace of modern software development? In the last decade, DevOps has grown steadily as a software development method and its ability to deploy products constantly has made organizations deploy applications up to hundreds of times per day. In the rapid-fire development life cycles, the question becomes, how can security be ensured at the same pace? This Thesis used a Systematic Literature Review to discover how security activities can be added into the core of DevOps development process in order to evolve the development methodology into DevSecOps, i.e., a development methodology that encompasses not only Development (Dev) and Operations (Ops) but also Security (Sec). The research looked at 18 different articles to understand how security activities can be used in DevOps processes as well as what challenges DevOps brings to security. The Building Security In Maturity Model (BSIMM) was used as a framework to chart the activities described in the academic research. The research literature was also reviewed through the four principles of DevOps: Culture, Automation, Measurement and Sharing (CAMS). As a result, it was found that the available research focuses heavily on securing the technologies frequently used in DevOps infrastructures (e.g., containers, development pipelines and cloud infrastructures). Looking at the challenges of security in DevOps, the research found the biggest challenges to be securing the deployment pipeline, balancing security with fast deliveries, as well as combating insider threat. The research also concluded that there are still many conflicting views on what DevOps is, which is shown by the DevOps principles not being reflected in the current research. The research gives an overview of the current state of research of security activities in DevOps, paves the way for DevSecOps style software development and brings forth research gaps for further researchers to explore.