Ensuring development efficiency with DevSecOps: A case study on streamlining dependency vulnerability management with Dependabot

Abstract

With the ever increasing need for modern software development companies to be able to continuously release new code and the increased emphasis on the security of the software, the practice of shifting security processes to the earlier stages of the development has become coveted. However creating a DevSecOps environment where the responsibility of the security processes is shifted to the developers without hindering their ability to efficiently produce software is challenging.

This work conducts a multivocal narrative literature review to research both academic and grey literature for what type of challenges the shift-left security introduces for the development speed. The review also identifies various solutions that can be utilized to mitigate the hindrance on the development efficiency. One of these solutions is the use of dependency management bots to automatically create fixes for vulnerabilities in projects' dependencies. This solutions is further studied on by implementing it to a real world company environment in the form of a case study.

As a part of the case study a guideline was created for how GitHub's Dependabot can be used to speed up the dependency vulnerability fixing process. The case study used a Likert-scale questionnaire to gather insight and prejudice on the presented usage of Dependabot. The results indicated that there is a gain in terms of increasing the speed of the vulnerability fixing process as well as increasing the overall security of the projects. The identified barriers for the implementation were also deemed in the results to not be restricting factors for the adaption of the Dependabot's security updates. The small sample size of the study and the limited view of only a single company means that the results can not be used to reflect the global view on the matter, but the study's results can still be utilized as an entry point for Dependabot's security update adaptation.

Nykypäivän ohjelmistokehitysyritysten kasvava tarve kyetä jatkuvasti julkaisemaan uutta koodia sekä ohjelmistojen turvallisuuden entistä suurempi korostuminen on johtanut siihen, että tietoturvaprosessien siirtämisestä kehityksen aikaisempiin vaiheisiin on tullut oleellisempaa näille yrityksille. DevSecOps-ympäristön luominen, jossa tietoturvaprosessien vastuu on siirretty kehittäjille siten, ettei heidän kykynsä tuottaa tehokkaasti uutta koodia heikentyisi, on kuitenkin haastavaa.

Tässä työssä toteutetaan moniääninen narratiivinen kirjallisuuskatsaus, jonka avulla etsitään vastauksia sekä akateemisesta että harmaasta kirjallisuudesta sille, millaisia haasteita tietoturvan siirtäminen vasemmalle aiheuttaa ohjelmistokehitysnopeudelle. Kirjallisuuskatsauksessa tunnistetaan myös erilaisia ratkaisuja, joilla voidaan lieventää tätä kehityksen tehokkuuden heikentymistä. Yksi näistä ratkaisuista on riippuvuuksien hallintaan kehitetyt botit, joiden avulla voidaan automaattisesti päivittää projektien haavoittuvuuneet riippuvuudet. Tätä ratkaisua tutkitaan myös tarkemmin toteuttamalla se tosielämän yritysympäristössä tapaustutkimuksen muodossa.

Osana tapaustutkimusta luotiin ohje siitä, miten GitHubin Dependabottia voidaan käyttää nopeuttamaan projektien riippuvuuksien haavoittuvuuksien korjausprosessia. Tässä tapaustutkimuksessa käytettiin Likert-asteikko-pohjaista kyselyä näkemyksien ja ennakkoluulojen keräämiseen esitetyn Dependabotin käytön suhteen. Tulokset osoittivat, että haavoittuvuuksien korjausprosessin nopeutta ja projektien yleistä turvallisuutta on mahdollista parantaa toteutuksen avulla. Myös tunnistetut esteet Dependabotin tietoturvapäivitysten käyttöönotolle eivät tulosten perusteella olleet tätä rajoittavia tekijöitä. Tutkimuksen pieni otoskoko ja rajoittuminen vain yhteen yritykseen tarkoittaa, että tuloksia ei voida pitää yleispätevinä, mutta tutkimuksen tuloksia voidaan silti käyttää lähtökohtana Dependabotin tietoturvapäivitysten käyttöönotolle.