Ensuring development efficiency with DevSecOps: A case study on streamlining dependency vulnerability management with Dependabot
Authors
Date
2024Copyright
© The Author(s)
With the ever increasing need for modern software development companies to be able to continuously release new code and the increased emphasis on the security of the software, the practice of shifting security processes to the earlier stages of the development has become coveted. However creating a DevSecOps environment where the responsibility of the security processes is shifted to the developers without hindering their ability to efficiently produce software is challenging.
This work conducts a multivocal narrative literature review to research both academic and grey literature for what type of challenges the shift-left security introduces for the development speed. The review also identifies various solutions that can be utilized to mitigate the hindrance on the development efficiency. One of these solutions is the use of dependency management bots to automatically create fixes for vulnerabilities in projects' dependencies. This solutions is further studied on by implementing it to a real world company environment in the form of a case study.
As a part of the case study a guideline was created for how GitHub's Dependabot can be used to speed up the dependency vulnerability fixing process. The case study used a Likert-scale questionnaire to gather insight and prejudice on the presented usage of Dependabot. The results indicated that there is a gain in terms of increasing the speed of the vulnerability fixing process as well as increasing the overall security of the projects. The identified barriers for the implementation were also deemed in the results to not be restricting factors for the adaption of the Dependabot's security updates. The small sample size of the study and the limited view of only a single company means that the results can not be used to reflect the global view on the matter, but the study's results can still be utilized as an entry point for Dependabot's security update adaptation.
...
Nykypäivän ohjelmistokehitysyritysten kasvava tarve kyetä jatkuvasti julkaisemaan uutta koodia sekä ohjelmistojen turvallisuuden entistä suurempi korostuminen on johtanut siihen, että tietoturvaprosessien siirtämisestä kehityksen aikaisempiin vaiheisiin on tullut oleellisempaa näille yrityksille. DevSecOps-ympäristön luominen, jossa tietoturvaprosessien vastuu on siirretty kehittäjille siten, ettei heidän kykynsä tuottaa tehokkaasti uutta koodia heikentyisi, on kuitenkin haastavaa.
Tässä työssä toteutetaan moniääninen narratiivinen kirjallisuuskatsaus, jonka avulla etsitään vastauksia sekä akateemisesta että harmaasta kirjallisuudesta sille, millaisia haasteita tietoturvan siirtäminen vasemmalle aiheuttaa ohjelmistokehitysnopeudelle. Kirjallisuuskatsauksessa tunnistetaan myös erilaisia ratkaisuja, joilla voidaan lieventää tätä kehityksen tehokkuuden heikentymistä. Yksi näistä ratkaisuista on riippuvuuksien hallintaan kehitetyt botit, joiden avulla voidaan automaattisesti päivittää projektien haavoittuvuuneet riippuvuudet. Tätä ratkaisua tutkitaan myös tarkemmin toteuttamalla se tosielämän yritysympäristössä tapaustutkimuksen muodossa.
Osana tapaustutkimusta luotiin ohje siitä, miten GitHubin Dependabottia voidaan käyttää nopeuttamaan projektien riippuvuuksien haavoittuvuuksien korjausprosessia. Tässä tapaustutkimuksessa käytettiin Likert-asteikko-pohjaista kyselyä näkemyksien ja ennakkoluulojen keräämiseen esitetyn Dependabotin käytön suhteen. Tulokset osoittivat, että haavoittuvuuksien korjausprosessin nopeutta ja projektien yleistä turvallisuutta on mahdollista parantaa toteutuksen avulla. Myös tunnistetut esteet Dependabotin tietoturvapäivitysten käyttöönotolle eivät tulosten perusteella olleet tätä rajoittavia tekijöitä. Tutkimuksen pieni otoskoko ja rajoittuminen vain yhteen yritykseen tarkoittaa, että tuloksia ei voida pitää yleispätevinä, mutta tutkimuksen tuloksia voidaan silti käyttää lähtökohtana Dependabotin tietoturvapäivitysten käyttöönotolle.
...
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [29772]
License
Related items
Showing items with similar title or keywords.
-
Selection of open-source web vulnerability scanner as testing tool in continuous software development
Riepponen, Mika (2024)Tietoturva on kriittinen osa web sovelluksia ja haavoittuvuudet tulisi ennaltaehkäistä tai tunnistaa sekä korjata mahdollisimman aikaisin ohjelmiston kehitysprosessissa. Tämän tutkimuksen tarkoitus on määrittää kuinka hyvin ... -
The Role of Predictive Analytics in Streamlining Retail Supply Chains for Enhanced Sustainability and Efficiency
Salo, Eetu (2024)Teknologian kehittyessä vähittäiskaupan sektori siirtyy monikanavaiseen lähestymistapaan missä fyysinen ja digitaalinen kaupankäynti sulautuu yhteen. Tätä siirtymää korostaa kestävyyden merkityksen kasvu, mitä ohjataan ... -
Quantum Algorithm Cards : Streamlining the Development of Hybrid Classical-Quantum Applications
Stirbu, Vlad; Haghparast, Majid (Springer, 2023)The emergence of quantum computing proposes a revolutionary paradigm that can radically transform numerous scientific and industrial application domains. The ability of quantum computers to scale computations implies better ... -
Security principles for package management as part of software development lifecycle and processes
Muranen, Markus (2019)Use of third-party software packages has become increasingly popular in software projects. Reusing source code via packages can help developers focus on writing the parts of the software that are unique to their application ... -
Ecological dependencies make remote reef fish communities most vulnerable to coral loss
Strona, Giovanni; Beck, Pieter S. A.; Cabeza, Mar; Fattorini, Simone; Guilhaumon, François; Micheli, Fiorenza; Montano, Simone; Ovaskainen, Otso; Planes, Serge; Veech, Joseph A.; Parravicini, Valeriano (Nature Publishing Group, 2021)Ecosystems face both local hazards, such as over-exploitation, and global hazards, such as climate change. Since the impact of local hazards attenuates with distance from humans, local extinction risk should decrease with ...