Авторы

Безопасный конвейер доставки программного обеспечения

Наличие уязвимостей в программном обеспечении является актуальной проблемой. Уязвимости могут служить основой для нарушения конфиденциальности и утечки информации. Целью данного исследования является повышение уровня защищенности программного обеспечения на всех этапах жизненного цикла от этапа разработки до этапа внедрения и эксплуатации. Достижение поставленной цели возможно путем автоматизированного анализа программного кода и увеличения типов обнаруживаемых уязвимостей. В работе предложен безопасный конвейер доставки программного обеспечения, который позволяет проводить статический и динамический анализ программного кода, анализ поиска уязвимостей в сторонних компонентах и docker-образах. Рассмотрены популярные программные инструменты, их отличительные особенности, дано обоснование выбора программных решений, которые заложены в основу разрабатываемого безопасного конвейера доставки. Новизной работы является возможность конвейера в автоматизированном режиме обнаруживать уязвимости на всех этапах жизненного цикла программного обеспечения, начиная от планирования и проектирования вплоть до тестирования, развертывания и мониторинга в производственной среде, что позволяет устранять уязвимости на ранних стадиях, тем самым повышая уровень защищенности программного обеспечения. Проведено тестирование безопасного конвейера доставки программного обеспечения. Исходя из результатов оценки, разработанный безопасный конвейер доставки программного обеспечения показал, что в среднем средствами инструмента Semgrep было выявлено 98 % уязвимостей, средствами инструмента ­OWASP ­ZAP – 90 % уязвимостей, средствами инструмента Dependency-Track – 96 % уязвимостей, средствами инструмента Trivy – 88 % уязвимостей. Результаты исследования и экспериментальные данные показали, что в среднем точность обнаружения уязвимостей составляет 93 %. Практическая ценность работы заключается в том, что разработанный безопасный конвейер доставки программного обеспечения может быть использован в качестве инструмента для обнаружения уязвимостей программного кода специалистами – разработчиками программного обеспечения, а также специалистами по информационной безопасности ­ИT-компаний. Полученные результаты могут быть использованы в области разработки защищенного программного обеспечения, формализации и интерпретации уязвимостей в программном коде, что позволит создавать новые правила их выявления и разработки контрмер по их нейтрализации. Читать дальше...