Аналіз методології DevSecOps в процесах розробки програмного забезпечення
Ескіз недоступний
Дата
2020
Автори
Гапон, А. О.
Федорченко, В. М.
Поляков, А. О.
Воловщиков, В. Ю.
Гужва, В. О.
Hapon, A. O.
Fedorchenko, V. M.
Poliakov, A. O.
Volovshchykov, V. Y.
Guzhva, V. A.
DOI
https://doi.org/10.20998/2079-0023.2020.01.12
Назва журналу
Номер ISSN
Назва тому
Видавець
Національний технічний університет "Харківський політехнічний інститут"
Анотація
Предметом дослідження в статті є методологія розробки і захисту програмного забезпечення в рамках DevSecOps. Дана методологіязмінила підхід до забезпечення безпеки з реактивного на проактивний, а також підкреслює важливість забезпечення безпеки на всіх рівнях організації. DevSecOps означає забезпечення безпеки в розробці додатків від самих ранніх етапів до самого кінця, а також включає в себе автоматизацію деяких шлюзів безпеки, щоб запобігти уповільнення робочого процесу DevOps. Необхідно підтримувати короткі і часто повторювані цикли розробки програмного продукту, а також інтегрувати заходи безпеки. Вибір правильних інструментів для безперервної інтеграції безпеки може допомогти в досягненні цих цілей. Сучасні інструменти автоматизації допомогли організаціям впровадити більш гнучкі методи розробки, а також зіграли свою роль в розробці нових заходів безпеки. Для ефективного захисту DevOps потрібні не тільки нові інструменти, а й зміни в самій організації процесів DevOps, щоб швидше інтегрувати роботу груп фахівців з безпеки з іншими спеціалістами, що призведе до покращення якості продукту. Стаття присвячена детальному аналізу сучасних підходів і методологій систематизації розробки та захисту програмного забезпечення, серед яких SDLC, BSIMM і OpenSAMM. Мета роботи –класифікація підходів до побудови процесів DevSecOps, а також розгляд методологій систематизації існуючих засобів захисту програмного забезпечення, що забезпечують взаємодію командирозробників і фахівців із захисту інформації в рамках одного життєвого циклу розробки. У статті вирішуються наступні завдання: розгляд і аналіз підходів побудови процесів DevSecOps і розгляд методологій систематизації засобів захисту програмного забезпечення. Отримані наступні результати: проаналізовано необхідні складові для побудови DevSecOps процесів. Висновки: проведений аналіз дозволяє класифікувати процес розробки і захисту програмного забезпечення за допомогою методології DevSecOps.
The subject of this research is the software development and protection methodology within DevSecOps. This methodology has changed the approach to ensuring security from reactive to proactive, and also emphasizes the importance of security at all levels of the organization.DevSecOps means providing security in application development from the earliest stages to the very end, and also includes automating some security gateways to prevent DevOps from slowing down the workflow. It is necessary to maintain short and frequently repeated cycles of software product development, as well as integrate security measures. Choosing the right tools for continuous security integration can help achieve these goals. Modern automation tools have helped organizations implement more flexible development methods, and also played a role in the development of new security measures. Effective protection of DevOps requires not only new tools, but also changes in the organization of DevOps processes in order to quickly integrate the work of security teams with other specialists, which will improve the quality of the product.The article is devoted to a detailed analysis of modern approaches and methodologies for systematizing software development and protection, including SDLC, BSIMM and OpenSAMM. The purpose of the work is the classification of approaches to the construction of DevSecOps processes, as well as the consideration of systematization methodologies for existing software protection tools that ensure the interaction of a development team and information protection specialists within one development life cycle. The following tasks are solved in the article: consideration and analysis of DevSecOps process construction approaches and consideration of systematization methodologies for software protection tools. The following results were obtained: the necessary components for the construction of DevSecOps processes are analyzed. Conclusions: the analysis allows us to classify the process of developing and protecting software using the DevSecOps methodology.
The subject of this research is the software development and protection methodology within DevSecOps. This methodology has changed the approach to ensuring security from reactive to proactive, and also emphasizes the importance of security at all levels of the organization.DevSecOps means providing security in application development from the earliest stages to the very end, and also includes automating some security gateways to prevent DevOps from slowing down the workflow. It is necessary to maintain short and frequently repeated cycles of software product development, as well as integrate security measures. Choosing the right tools for continuous security integration can help achieve these goals. Modern automation tools have helped organizations implement more flexible development methods, and also played a role in the development of new security measures. Effective protection of DevOps requires not only new tools, but also changes in the organization of DevOps processes in order to quickly integrate the work of security teams with other specialists, which will improve the quality of the product.The article is devoted to a detailed analysis of modern approaches and methodologies for systematizing software development and protection, including SDLC, BSIMM and OpenSAMM. The purpose of the work is the classification of approaches to the construction of DevSecOps processes, as well as the consideration of systematization methodologies for existing software protection tools that ensure the interaction of a development team and information protection specialists within one development life cycle. The following tasks are solved in the article: consideration and analysis of DevSecOps process construction approaches and consideration of systematization methodologies for software protection tools. The following results were obtained: the necessary components for the construction of DevSecOps processes are analyzed. Conclusions: the analysis allows us to classify the process of developing and protecting software using the DevSecOps methodology.
Опис
Ключові слова
DevSecOps , Application security , Infrastructure security , SDLC , BSIMM , OpenSAMM
Бібліографічний опис
Гапон А. О., Федорченко В. М., Поляков А. О., Воловщиков В. Ю., Гужва В. О. Аналіз методології DevSecOps в процесах розробки програмного забезпечення. Вісник Національного технічного університету «ХПІ». Серія: Системний аналіз, управління та інформаційні технології. 2020. № 1(3). C. 68–73. DOI: https://doi.org/10.20998/2079-0023.2020.01.12 .