Näytä suppeat kuvailutiedot

dc.contributor.advisorCostin, Andrei
dc.contributor.authorKoskinen, Anna
dc.date.accessioned2020-01-17T05:39:41Z
dc.date.available2020-01-17T05:39:41Z
dc.date.issued2019
dc.identifier.urihttps://jyx.jyu.fi/handle/123456789/67345
dc.description.abstractHienostuneiden ja nopeatahtisten kyberhyökkäysten jatkuvasti lisääntyvä määrä aiheuttaa haasteita tietoturvallisuuden parissa työskenteleville. Miten uudistuvassa toimintaympäristössä pystytään ehkäisemään haavoittuvuuksia, havaitsemaan hyökkäyksiä ja reagoimaan tietoturvaongelmiin tehokkaasti? Samaan aikaan toisenlainen aikapaine vaivaa ohjelmistojen kehittäjiä: liiketoimintavaatimusten vuoksi ohjelmistoja halutaan julkaista yhä nopeammalla tahdilla. Miten tietoturva varmistetaan kiivaassa kehityssyklissä? DevOps on viime vuosina saavuttanut vankan aseman ohjelmistojen kehittämismetodina ja sen mahdollistama jatkuva integrointi saa yritykset työntämään uusia järjestelmäversioita tuotantoon jopa satoja kertoja päivässä. Nopeassa kehityssyklissä tärkeäksi kysymykseksi nousee, miten voidaan varmistaa ohjelmistojen tietoturva yhtä nopealla tahdilla. Tässä työssä tarkasteltiin systemaattisen kirjallisuuskatsauksen kautta, miten tietoturvaa parantavia aktiviteetteja voidaan lisätä DevOps-kehittämisprosesseihin, jotta kehittämismenetelmässä päästäisiin todelliseen DevSecOps-malliin  malliin, johon kehittämisen (Dev) ja ylläpidon (Ops) olisi integroitu myös tietoturva (Sec). Työssä tutkittiin 18 eri akateemisen artikkelin näkemystä siitä, mitä tietoturva-aktiviteetteja DevOps-prosessissa voidaan käyttää sekä mitä haasteita DevOps asettaa tietoturvalle. Viitekehyksenä työssä käytettiin BSIMM-mallia (Building Security In Maturity Model), jonka avulla kartoitettiin turvallisuusaktiviteettien esiintymistä tutkimuksessa. Tutkimuskirjallisuutta tarkasteltiin myös DevOpsin neljän periaatteen (kulttuurin, automaation, mittaamisen ja jakamisen) kautta. Tuloksena huomattiin, että nykytutkimus keskittyy pitkälti DevOps-infrastuktuurissa käytettyjen teknologioiden (esim. konttitekniikat, kehitysputki ja pilvi-infrastruktuuri) turvaamiseen. DevOpsin turvallisuushaasteista tutkimus havaitsi suurimmiksi kehitysympäristön turvaamisen, turvallisuuden ja nopeiden toimitusten tasapainottamisen sekä niin sanotun sisäisen uhan (eli työntekijäväärinkäytösten) lisääntymisen mahdollisuuden. Lisäksi tutkimus havaitsi, että tutkijoiden kesken vallitsee edelleen erilaisia näkemyksiä siitä, mitä DevOps on, sillä DevOpsin perusperiaatteet ilmenevät heikosti nykytutkimuksesta. Tutkimus antaa yleiskuvan turvallisen DevOps-kehittämisen nykytutkimuksesta, edesauttaa DevSecOps-tyylistä kehittämistä sekä tuo esiin tutkimusaukkoja tulevien tutkijoiden tutkittaviksi.fi
dc.description.abstractThe constantly growing rate of sophisticated, high-speed cyber-attacks brings new challenges to the people working in cyber defense. How can security prevent vulnerabilities, detect attacks in real time and respond to security incidents effectively? At the same time further down the development pipeline, another kind of time pressure is felt by software developers: business needs are constantly pressing for faster software release cycles. How can security be properly addressed in the ever-increasing pace of modern software development? In the last decade, DevOps has grown steadily as a software development method and its ability to deploy products constantly has made organizations deploy applications up to hundreds of times per day. In the rapid-fire development life cycles, the question becomes, how can security be ensured at the same pace? This Thesis used a Systematic Literature Review to discover how security activities can be added into the core of DevOps development process in order to evolve the development methodology into DevSecOps, i.e., a development methodology that encompasses not only Development (Dev) and Operations (Ops) but also Security (Sec). The research looked at 18 different articles to understand how security activities can be used in DevOps processes as well as what challenges DevOps brings to security. The Building Security In Maturity Model (BSIMM) was used as a framework to chart the activities described in the academic research. The research literature was also reviewed through the four principles of DevOps: Culture, Automation, Measurement and Sharing (CAMS). As a result, it was found that the available research focuses heavily on securing the technologies frequently used in DevOps infrastructures (e.g., containers, development pipelines and cloud infrastructures). Looking at the challenges of security in DevOps, the research found the biggest challenges to be securing the deployment pipeline, balancing security with fast deliveries, as well as combating insider threat. The research also concluded that there are still many conflicting views on what DevOps is, which is shown by the DevOps principles not being reflected in the current research. The research gives an overview of the current state of research of security activities in DevOps, paves the way for DevSecOps style software development and brings forth research gaps for further researchers to explore.en
dc.format.extent67
dc.format.mimetypeapplication/pdf
dc.language.isoen
dc.subject.otherdevops
dc.subject.otherdevsecops
dc.subject.otherturvallinen ohjelmistokehitys
dc.subject.othertietoturvallinen kehittäminen
dc.subject.otherBSIMM
dc.titleDevSecOps : building security into the core of DevOps
dc.identifier.urnURN:NBN:fi:jyu-202001171290
dc.type.ontasotPro gradu -tutkielmafi
dc.type.ontasotMaster’s thesisen
dc.contributor.tiedekuntaInformaatioteknologian tiedekuntafi
dc.contributor.tiedekuntaFaculty of Information Technologyen
dc.contributor.laitosInformaatioteknologiafi
dc.contributor.laitosInformation Technologyen
dc.contributor.yliopistoJyväskylän yliopistofi
dc.contributor.yliopistoUniversity of Jyväskyläen
dc.contributor.oppiaineTietojärjestelmätiedefi
dc.contributor.oppiaineInformation Systems Scienceen
dc.rights.copyrightJulkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.fi
dc.rights.copyrightThis publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.en
dc.type.publicationmasterThesis
dc.contributor.oppiainekoodi601
dc.subject.ysoohjelmistokehitys
dc.subject.ysotietoturva
dc.subject.ysosoftware development
dc.subject.ysodata security
dc.format.contentfulltext
dc.type.okmG2


Aineistoon kuuluvat tiedostot

Thumbnail

Aineisto kuuluu seuraaviin kokoelmiin

Näytä suppeat kuvailutiedot