Integrating security scans into CI/CD pipelines

Abstract

Κατά τις τελευταίες δεκαετίες, η τεχνολογία έχει σημειώσει ραγδαία πρόοδο, κάνοντας την διαθέσιμη σε πολίτες σε μία κλίμακα που παλαιότερα ήταν αδιανόητη. Σήμερα σχεδόν κάθε ενήλικος διαθέτει τουλάχιστον μια έξυπνη συσκευή. Αυτές οι συσκευές φιλοξενούν εφαρμογές που περιέχουν ένα ευρύ φάσμα προσωπικών δεδομένων, από φωτογραφίες έως πληροφορίες για τραπεζικούς λογαριασμούς. Ισχυρά μέτρα ασφαλείας για αυτές τις εφαρμογές είναι απαραίτητα για την προστασία ευαίσθητων πληροφοριών από πιθανές απειλές. Οι εταιρείες στο παρελθόν έδειξαν δυσκολία, και ορισμένες το κάνουν ακόμα, με την ισορροπία ποιότητας και ταχύτητας κατά την προσπάθεια παράδοσης μια εφαρμογής. Εδώ συμβάλει η Συνεχής Ενσωμάτωση και Συνεχής Παράδοση/Ανάπτυξη (CI/CD) που αποσκοπεί στην βελτιστοποίηση και την επιτάχυνση του κύκλου ζωής ανάπτυξης λογισμικού (SDLC), η δυνατότητα να δημιουργούνται αξιόπιστες, ασφαλείς και διατηρήσιμες εφαρμογές χωρίς να θυσιάζεται η ταχύτητα παράδοσης προς την αγορά. Ο σκοπός αυτής της πτυχιακής είναι να παρουσιάσει βήματα για ένα ολοκληρωμένο σύστημα μαζί με δύο CI/CD διεργασίες, μία που επικεντρώνεται στην Στατική Δοκιμή Ασφαλείας Εφαρμογών (SAST) και μια στην Δυναμική Δοκιμή Ασφαλείας Εφαρμογών (DAST). Μια μή ασφαλή εφαρμογή θα χρησιμοποιηθεί ώστε να παρουσιαστούν τα αποτελέσματα αυτών των δύο διεργασιών. Η ασφάλεια πρέπει να είναι η πιο σημαντική πτυχή του κύκλου ζωής ανάπτυξης λογισμικού, επειδή μπορεί να καθορίσει τα διαθέσιμα εργαλεία στους προγραμματιστές και τη δομή της εφαρμογής. Γι' αυτό η ασφάλεια πρέπει να ενσωματωθεί στις διεργασίες που ακολουθεί το CI/CD.