Enhancing application security through DevSecOps : a comprehensive study on vulnerability detection and management in continuous integration and continuous delivery pipelines

Abstract

Αυτή η διπλωματική εξετάζει τον συναντισμό των μεθόδων ανάπτυξης λογισμικού και της κυβερνοασφάλειας στον τομέα του DevSecOps, ένα παράδειγμα που δίνει προτεραιότητα στην ενσωμάτωση μέτρων ασφαλείας σε όλον τον Κύκλο Ζωής Ανάπτυξης Λογισμικού (SDLC). Αυτό το έγγραφο εξετάζει τις δυσκολίες που σχετίζονται με την εφαρμογή του DevSecOps, συμπεριλαμβανομένης της ανίχνευσης και της επίλυσης των ευπαθειών, καθώς και της συνεχούς παρακολούθησης και της αντιμετώπισης των απειλών ασφαλείας εντός των σύγχρονων αγωγών ανάπτυξης λογισμικού. Η αρχή του ταξιδιού περιλαμβάνει μια πρώτη εξερεύνηση του Κύκλου Ζωής Ανάπτυξης Λογισμικού (SDLC) και μια σφαιρική ανάλυση των βασικών εννοιών που αναφέρονται στο Agile Manifesto, τα οποία αποτελούν τη βάση για τις σύγχρονες πρακτικές ανάπτυξης λογισμικού. Αυτή η διατριβή επικεντρώνεται στο Application Security Pipeline για την Συνεχή Ενσωμάτωση/Συνεχή Παράδοση (CI/CD), εξετάζοντας τον συναντισμό της Πληροφοριακής Ασφάλειας και της Ασφάλειας Εφαρμογής. Υπογραμμίζεται η σημαντικότητα της ασφάλειας στο πλαίσιο των διαδικασιών DevOps καθώς και οι δυσκολίες που αντιμετωπίζουν οι επιχειρήσεις κατά την εφαρμογή των αρχών του DevSecOps. Επιπρόσθετα, προσφέρει μια λεπτομερή ανάλυση των ευπαθειών, επικεντρώνοντας ειδικά στις ευπαθειές της εφαρμογής, τις ευπαθειές των εικόνων Docker και τις ευπαθειές μέσα στο Pipeline CI/CD, εξετάζοντας διάφορες προσεγγίσεις ανίχνευσης ευπαθειών κατά μήκος του Κύκλου Ζωής Ανάπτυξης Λογισμικού (SDLC), συμπεριλαμβανομένης της Στατικής Ανάλυσης Κώδικα, της Δυναμικής Ανάλυσης Κώδικα, της Ανάλυσης Σύνθεσης Λογισμικού και της Ανάλυσης Ασφάλειας Εφαρμογής. Η κύρια συνεισφορά αυτής της μελέτης βρίσκεται στην πρόταση και αξιολόγηση ενός παραδείγματος Συνεχούς Διαχείρισης Ευπαθειών εντός του πλαισίου του DevSecOps. Το έγγραφο αναλύει τις πρακτικές της Συνεχούς Αξιολόγησης, Αντιμετώπισης και Αναφοράς Ευπαθειών, υπογραμμίζοντας τη σημασία της υιοθέτησης μιας προακτινόμενης και επαναληπτικής μεθοδολογίας για τη διαχείριση των ευπαθειών. Για να επικυρώσει το προτεινόμενο πλαίσιο, παρουσιάζεται μια πρακτική μελέτη περίπτωσης χρησιμοποιώντας την εφαρμογή OWASP WebGoat. Αναλύεται η αποτελεσματικότητα διαφόρων εργαλείων ασφαλείας, συμπεριλαμβανομένων της SAST με το SNYK, της SAST με το SonarQube, της Ανάλυσης Ασφαλείας των Εικόνων Docker με το Trivy και το Grype, καθώς και της DAST με το OWASP-Zap και το Arachni. Ο στόχος είναι να αξιολογηθεί η αποτελεσματικότητα αυτών των εργαλείων και να παρασχεθούν σημαντικές προτάσεις. Ο στόχος αυτής της διπλωματικής είναι να δημιουργήσει μια σύνδεση μεταξύ της ανάπτυξης λογισμικού και της κυβερνοασφάλειας, παρέχοντας χρήσιμες γνώσεις και πρακτικές συμβουλές σε επιχειρήσεις που επιδιώκουν να ενισχύσουν τα μέτρα ασφαλείας τους στο συνεχώς μεταβαλλόμενο πεδίο της σύγχρονης ανάπτυξης λογισμικού.