Log Management Best Practices in Cloud Based Software Development Lifecycle, Expert Analysis
Authors
Date
2024Copyright
© The Author(s)
Lokit ovat tärkeitä, koska ne kertovat järjestelmän tilasta, ja niiden avulla voidaan tunnistaa minkä tahansa tyyppiset kyberhyökkäykset tai luoda tietopohjainen kuva käyttäjien työtavoista. Monet viimeaikaiset lait ja standardit pakottavat lokinhallintaan. NIS2 direktiivi pakottaa tietyt valmistajat huomioimaan lokinhallinnan ja -käsittelyn ohjelmistokehitysprosessin vaiheissa. Ohjelmistohallinnan automaatiota tulisi edistää myös standardien IEC 62443 ja ISO 27001 mukaisesti. Tämä sisältää lokinhallintatyökalujen ja työkaludokumentaation, lokinhallintatoimintojen teknisen ohjeistuksen ja tiedon jakamisen lokinhallintahenkilöstölle. ISO 27001 jopa mainitsee yhdeksi menetelmistään sen, että turvallinen SDLC tulee määrittää ja käyttöönottaa. Kohdeorganisaatio toimii globaalin ohjelmistokehityksen (GSD) kontekstissa, jossa työtä tehdään useassa paikassa samanaikaisesti. Siksi on vielä tärkeämpää, että tietoturvavaatimuksista ollaan tietoisia ja käytetään sertifiointia. Nämä ovat mahdollisia keskittämällä lokinhallintaa esimerkiksi työkaluilla kuten keskitetyllä lokinhallinnalla (CLM), sovituilla menettelyillä ja rakentamalla monet lokinhallinnan edellyttämistä toiminnoista pilvialustaan.
Tutkimusmenetelmänä on asiantuntija-analyysi laadullisin haastatteluin ja kyselyin kuudelle asiantuntijalle, joilla on usean vuoden kokemus aihealueesta. Tutkimus kerää asiantuntijoiden näkemykset lokinhallinnan parhaista käytännöistä huomioiden myös lainsäädännön, standardit ja kirjallisuuskatsauksen sekä artikkelit aiheesta. Kerätty materiaali analysoitiin koodaamalla ne ohjelmistokehitysprosessin, työkalujen, lokeihin liittyvien vaatimusten ja toimintojen pohjalta induktiivisesti.
Tämä tutkimus päättelee, että lokinhallintatoimintojen tulee perustua ohjelmistokehityksen elinkaareen (SDLC). Keskittymällä ratkaisujen rakentamisprosessiin voidaan varmistaa, että rakennettava tuote on laadukas. Jokainen asiantuntija oli samaa mieltä, että hyvin määritelty pilviarkkitehtuuri auttaa varmistamaan, että monet lokeihin liittyvät vaatimukset käsitellään oikein. Yhtä tärkeää on määrittää standardoidut lokinhallintaprosessit työskentelytavoiksi, kuten lokitarkastuksiksi, turvallisten koodauskäytäntöjen, kuten OWASP:n (Open Worldwide Application Security Project) noudattaminen ja SDLC-prosessia tukevien työkalujen, kuten Jiran, käyttö työn organisointiin ja seurantaan.
...
Logs are important because they inform about the system health and can be used to identify any type of cyber-attacks or give a data-based overview of users’ ways of working. Recent legislation and standards enforce log management. NIS2 directive forces certain manufacturers to take logging procedures into software development process’ phases. Software management automation should be promoted as defined in standards IEC 62443 and ISO 27001. This covers distribution of log management tools, technical guidance in log management and delivering the needed data to the log management personnel. ISO 27001 even mentions one of its controls being that the secure development lifecycle should be established and applied. The target organization of this study operates in Global Software Development (GSD) where work is being done in many locations simultaneously. In GDS, it is even more important that the security requirements are known, and certification is used. This is possible via centralizing the log management with tools such as Centralized Log Management (CLM), agreed procedures, and building many of the log management required functionality on the cloud platform.
The research method used is expert analysis with qualitative interviews and a survey with six participants who all have several years of domain expertise. The research gathers the views of subject matter experts around the log management best practices but also reflects the legislation, standards, literature review, and articles about the topic. The gathered data was analyzed via theming in reflection on the software development process, tooling, logging related requirements, and logging activities inductively.
This research concludes that the log management activities should be built on the Software Development Lifecycle (SDLC). Placing focus on the process of how solutions are built, one can ensure that the product being built will be of good quality. All interviewed experts agreed that a well-defined cloud architecture helps to ensure many of the log related requirements are handled accordingly. As important is to set up standardized log management processes into ways of working such as log inspections, following secure coding practices such as OWASP (Open Worldwide Application Security Project), and using tools supporting SDLC process such as Jira as a management tool to organize and track the work.
...
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [29556]
License
Related items
Showing items with similar title or keywords.
-
Quantum software engineering and quantum software development lifecycle : a survey
Dwivedi, Kanishk; Haghparast, Majid; Mikkonen, Tommi (Springer, 2024)Quantum software engineering is advancing in the domain of quantum computing research and application, yet the documentation is scattered. The slow transition from Von-Neumann based computation systems to quantum systems, ... -
Software Startup Practices : Software Development in Startups Through the Lens of the Essence Theory of Software Engineering
Kemell, Kai-Kristian; Ravaska, Ville; Nguyen-Duc, Anh; Abrahamsson, Pekka (Springer, 2020)Software startups continue to be important drivers of economy globally. As the initial investment required to found a new software company becomes smaller and smaller resulting from technological advances such as cloud ... -
Work‐from‐home impacts on software project : A global study on software development practices and stakeholder perceptions
Nguyen‐Duc, Anh; Khanna, Dron; Le Giang, Huong; Greer, Des; Wang, Xiaofeng; Martinez, Zaina Luciana; Matturro, Gerardo; Melegati, Jorge; Guerra, Eduardo; Kettunen, Petri; Hyrynsalmi, Sami; Edison, Henry; Sales, Afonso; Chanin, Rafael; Rutitis, Didzis; Kemell, Kai‐Kristian; Aldaeej, Abdullah; Mikkonen, Tommi; Garbajosa, Juan; Abrahamsson, Pekka (John Wiley & Sons, 2024)Context The COVID-19 pandemic has had a disruptive impact on how people work and collaborate across all global economic sectors, including software business. While remote working is not new for software engineers, forced ... -
Ethics in AI : software development companies' ethical practices in AI development
de Lamare, Annika (2022)Tämä ankkuroidun menetelmän avulla tehty tutkimus tutkii etiikan ja tekoälykehityksen suhdetta sovelluskehitysyrityksissä aloittaen yksinkertaisesti kysyen: Onko etiikalla roolia tekoälykehityksessä? Tutkimus perustuu ... -
Suppliers’ software development project start-up practices
Merikoski, Helena; Savolainen, Paula; Ahonen, Jarmo J. (Emerald Publishing Ltd., 2017)Purpose The purpose of this paper is to present a life cycle phase of a software development project which is substantial for the success of the project. This paper visualizes the project start-up phase from suppliers’ ...