8 (495) 987 43 74 доб. 3304 Прием заявок на рассмотрение статей E-mail: evlasova@synergy.ru

Мы в соцсетях -              
Рус   |   Eng

Материалы в свободном доступе

Авторы: Тумбинская М. В., Сенцова  А. Ю., Хаертдинов  А. Х.     Опубликовано в № 3(111) 20 июня 2024 года
Рубрика: Программная инженерия

Безопасный конвейер доставки программного обеспечения

Наличие уязвимостей в программном обеспечении является актуальной проблемой. Уязвимости могут служить основой для нарушения конфиденциальности и утечки информации. Целью данного исследования является повышение уровня защищенности программного обеспечения на всех этапах жизненного цикла от этапа разработки до этапа внедрения и эксплуатации. Достижение поставленной цели возможно путем автоматизированного анализа программного кода и увеличения типов обнаруживаемых уязвимостей. В работе предложен безопасный конвейер доставки программного обеспечения, который позволяет проводить статический и динамический анализ программного кода, анализ поиска уязвимостей в сторонних компонентах и docker-образах. Рассмотрены популярные программные инструменты, их отличительные особенности, дано обоснование выбора программных решений, которые заложены в основу разрабатываемого безопасного конвейера доставки. Новизной работы является возможность конвейера в автоматизированном режиме обнаруживать уязвимости на всех этапах жизненного цикла программного обеспечения, начиная от планирования и проектирования вплоть до тестирования, развертывания и мониторинга в производственной среде, что позволяет устранять уязвимости на ранних стадиях, тем самым повышая уровень защищенности программного обеспечения. Проведено тестирование безопасного конвейера доставки программного обеспечения. Исходя из результатов оценки, разработанный безопасный конвейер доставки программного обеспечения показал, что в среднем средствами инструмента Semgrep было выявлено 98 % уязвимостей, средствами инструмента ­OWASP ­ZAP – 90 % уязвимостей, средствами инструмента Dependency-Track – 96 % уязвимостей, средствами инструмента Trivy – 88 % уязвимостей. Результаты исследования и экспериментальные данные показали, что в среднем точность обнаружения уязвимостей составляет 93 %. Практическая ценность работы заключается в том, что разработанный безопасный конвейер доставки программного обеспечения может быть использован в качестве инструмента для обнаружения уязвимостей программного кода специалистами – разработчиками программного обеспечения, а также специалистами по информационной безопасности ­ИT-компаний. Полученные результаты могут быть использованы в области разработки защищенного программного обеспечения, формализации и интерпретации уязвимостей в программном коде, что позволит создавать новые правила их выявления и разработки контрмер по их нейтрализации.

Ключевые слова

уязвимость, DevSecOps, конвейер доставки, docker-образ, безопасная разработка, анализ программного кода

Автор статьи:

Тумбинская М. В.

Ученая степень:

канд.техн.наук, доцент кафедры Систем информационной безопасности, Казанский национальный исследовательский технический университет им. А. Н. Туполева

Местоположение:

Казань

Автор статьи:

Сенцова  А. Ю.

Ученая степень:

канд. техн. наук, доцент, кафедра вычислительной техники и защиты информации, Уфимский университет науки и технологий

Местоположение:

Уфа, Россия

Автор статьи:

Хаертдинов  А. Х.

Ученая степень:

студент, кафедра систем информационной безопасности, Казанский национальный исследовательский технический университет им. А. Н. Туполева

Местоположение:

Казань, Россия