| dc.contributor.advisor | Gritzalis, Stefanos | |
| dc.contributor.advisor | Γκρίτζαλης, Στέφανος | |
| dc.contributor.author | Vourou, Pagona | |
| dc.contributor.author | Βούρου, Παγώνα | |
| dc.date.accessioned | 2024-03-26T08:53:26Z | |
| dc.date.available | 2024-03-26T08:53:26Z | |
| dc.date.issued | 2023-10-27 | |
| dc.identifier.uri | https://dione.lib.unipi.gr/xmlui/handle/unipi/16305 | |
| dc.identifier.uri | http://dx.doi.org/10.26267/unipi_dione/3727 | |
| dc.description.abstract | Αυτή η διπλωματική εξετάζει τον συναντισμό των μεθόδων ανάπτυξης λογισμικού και της κυβερνοασφάλειας στον τομέα του DevSecOps, ένα παράδειγμα που δίνει προτεραιότητα στην ενσωμάτωση μέτρων ασφαλείας σε όλον τον Κύκλο Ζωής Ανάπτυξης Λογισμικού (SDLC). Αυτό το έγγραφο εξετάζει τις δυσκολίες που σχετίζονται με την εφαρμογή του DevSecOps, συμπεριλαμβανομένης της ανίχνευσης και της επίλυσης των ευπαθειών, καθώς και της συνεχούς παρακολούθησης και της αντιμετώπισης των απειλών ασφαλείας εντός των σύγχρονων αγωγών ανάπτυξης λογισμικού.
Η αρχή του ταξιδιού περιλαμβάνει μια πρώτη εξερεύνηση του Κύκλου Ζωής Ανάπτυξης Λογισμικού (SDLC) και μια σφαιρική ανάλυση των βασικών εννοιών που αναφέρονται στο Agile Manifesto, τα οποία αποτελούν τη βάση για τις σύγχρονες πρακτικές ανάπτυξης λογισμικού.
Αυτή η διατριβή επικεντρώνεται στο Application Security Pipeline για την Συνεχή Ενσωμάτωση/Συνεχή Παράδοση (CI/CD), εξετάζοντας τον συναντισμό της Πληροφοριακής Ασφάλειας και της Ασφάλειας Εφαρμογής. Υπογραμμίζεται η σημαντικότητα της ασφάλειας στο πλαίσιο των διαδικασιών DevOps καθώς και οι δυσκολίες που αντιμετωπίζουν οι επιχειρήσεις κατά την εφαρμογή των αρχών του DevSecOps.
Επιπρόσθετα, προσφέρει μια λεπτομερή ανάλυση των ευπαθειών, επικεντρώνοντας ειδικά στις ευπαθειές της εφαρμογής, τις ευπαθειές των εικόνων Docker και τις ευπαθειές μέσα στο Pipeline CI/CD, εξετάζοντας διάφορες προσεγγίσεις ανίχνευσης ευπαθειών κατά μήκος του Κύκλου Ζωής Ανάπτυξης Λογισμικού (SDLC), συμπεριλαμβανομένης της Στατικής Ανάλυσης Κώδικα, της Δυναμικής Ανάλυσης Κώδικα, της Ανάλυσης Σύνθεσης Λογισμικού και της Ανάλυσης Ασφάλειας Εφαρμογής.
Η κύρια συνεισφορά αυτής της μελέτης βρίσκεται στην πρόταση και αξιολόγηση ενός παραδείγματος Συνεχούς Διαχείρισης Ευπαθειών εντός του πλαισίου του DevSecOps. Το έγγραφο αναλύει τις πρακτικές της Συνεχούς Αξιολόγησης, Αντιμετώπισης και Αναφοράς Ευπαθειών, υπογραμμίζοντας τη σημασία της υιοθέτησης μιας προακτινόμενης και επαναληπτικής μεθοδολογίας για τη διαχείριση των ευπαθειών.
Για να επικυρώσει το προτεινόμενο πλαίσιο, παρουσιάζεται μια πρακτική μελέτη περίπτωσης χρησιμοποιώντας την εφαρμογή OWASP WebGoat. Αναλύεται η αποτελεσματικότητα διαφόρων εργαλείων ασφαλείας, συμπεριλαμβανομένων της SAST με το SNYK, της SAST με το SonarQube, της Ανάλυσης Ασφαλείας των Εικόνων Docker με το Trivy και το Grype, καθώς και της DAST με το OWASP-Zap και το Arachni. Ο στόχος είναι να αξιολογηθεί η αποτελεσματικότητα αυτών των εργαλείων και να παρασχεθούν σημαντικές προτάσεις.
Ο στόχος αυτής της διπλωματικής είναι να δημιουργήσει μια σύνδεση μεταξύ της ανάπτυξης λογισμικού και της κυβερνοασφάλειας, παρέχοντας χρήσιμες γνώσεις και πρακτικές συμβουλές σε επιχειρήσεις που επιδιώκουν να ενισχύσουν τα μέτρα ασφαλείας τους στο συνεχώς μεταβαλλόμενο πεδίο της σύγχρονης ανάπτυξης λογισμικού. | el |
| dc.format.extent | 96 | el |
| dc.language.iso | en | el |
| dc.publisher | Πανεπιστήμιο Πειραιώς | el |
| dc.title | Enhancing application security through DevSecOps : a comprehensive study on vulnerability detection and management in continuous integration and continuous delivery pipelines | el |
| dc.title.alternative | Βελτιστοποίηση της ασφάλειας εφαρμογών μέσω DevSecOps : μια έρευνα σχετικά με τον εντοπισμό και τη διαχείριση των ευπαθειών, με τη βοήθεια εργαλείων σε ένα περιβάλλον συνεχούς ενσωμάτωσης και συνεχούς παράδοσης | el |
| dc.type | Master Thesis | el |
| dc.contributor.department | Σχολή Τεχνολογιών Πληροφορικής και Επικοινωνιών. Τμήμα Ψηφιακών Συστημάτων | el |
| dc.description.abstractEN | This thesis examines the intersection of software development methods and cybersecurity in the domain of DevSecOps, a paradigm that prioritizes the incorporation of security measures across the entire Software Development Lifecycle (SDLC). This paper explores the difficulties associated with implementing DevSecOps, including the detection and resolution of vulnerabilities, as well as the ongoing monitoring and mitigation of security threats within contemporary software
development pipelines.
The start of the journey includes a first exploration of the Software Development Lifecycle (SDLC) and a comprehensive analysis of the fundamental concepts outlined in the Agile Manifesto, which serve as the foundation for contemporary software development practices. This paper delves deeper into the examination of Continuous Integration and Continuous Delivery (CI/CD) processes, as well as the emergence of DevOps as a disruptive influence inside the industry.
This paper focuses on the Application Security Pipeline for Continuous Integration/Continuous Deployment (CI/CD), examining the intersection of Information Security and Application Security. This statement highlights the significant importance of security in the context of DevOps processes, as well as the difficulties that businesses have while implementing DevSecOps concepts. Also, it provides a thorough examination of vulnerabilities, specifically emphasizing application vulnerabilities, Docker image vulnerabilities, and vulnerabilities inside the CI/CD pipeline, and examines different ways for detecting vulnerabilities across the Software Development Life Cycle (SDLC). These approaches include Static Code Analysis, Dynamic Code Analysis, Software Composition Analysis, and Container Security Analysis.
The primary contribution of this study is to the proposal and assessment of a Continuous Vulnerability Management paradigm within the context of DevSecOps. The document delineates the practices of Continuous Vulnerability Evaluation, Treatment, and Reporting, underscoring the significance of adopting a proactive and iterative methodology towards vulnerability management.
In order to authenticate the suggested framework, a practical case study is shown utilizing the OWASP WebGoat application. This study does a comparative examination of several security technologies utilized in a DevSecOps pipeline. The tools examined include SAST with SNYK, SAST with SonarQube, Container Security with Trivy and Grype, as well as DAST with OWASP-Zap and Arachni. The objective is to evaluate the efficiency of these tools and get valuable insights.
The objective of this thesis is to establish a connection between software development and cybersecurity, providing useful insights and practical advice for businesses seeking to enhance their security measures in the ever-changing realm of contemporary software development. | el |
| dc.contributor.master | Ασφάλεια Ψηφιακών Συστημάτων | el |
| dc.subject.keyword | DevSecOps | el |
| dc.subject.keyword | DevOps | el |
| dc.subject.keyword | Security | el |
| dc.date.defense | 2023-11-10 | |
