АНАЛИЗ И МИНИМИЗАЦИЯ РИСКОВ ВРЕДОНОСНЫХ ЗАВИСИМОСТЕЙ В ПРОЦЕССЕ НЕПРЕРЫВНОЙ ИНТЕГРАЦИИ И ВНЕДРЕНИЯ ПРОГРАММНОГО КОДА

  • Danil N. Alekseev ФГБОУ ВО «Казанский государственный энергетический университет»
  • Renat M. Khamitov ФГБОУ ВО «Казанский государственный энергетический университет» https://orcid.org/0000-0002-9949-4404
Ключевые слова: DevOps, управление данными, безопасность, DevSecOps, контроль версий зависимостей, управление зависимостями, PyPI, минимизация рисков, безопасная разработка, паттерны

Аннотация

Процессы непрерывной интеграции и непрерывного развертывания (CI/CD) стали важнейшими элементами современной разработки программного обеспечения, обеспечивая автоматизацию и оптимизацию рабочих процессов. Однако эти процессы сопровождаются рисками, связанными с уязвимостями в цепочке зависимостей, что может привести к серьезным последствиям, таким как несанкционированный доступ и утечка данных. В статье рассматривается необходимость внедрения надежных механизмов обнаружения и смягчения рисков зависимостей для повышения надежности CI/CD.

Основной риск в процессах CI/CD связан с эксплуатацией вредоносных зависимостей, используемых в процессе сборки и развертывания программного обеспечения. Основные виды атак включают путаницу зависимостей, перехват зависимостей и киберсквоттинг опечаток. Для предотвращения этих угроз предлагаются различные методы защиты, такие как контроль доступа к приватным пакетам, использование автоматизированных инструментов для мониторинга и проверки зависимостей, а также внедрение систем машинного обучения для обнаружения подозрительных пакетов. Эти меры направлены на обеспечение целостности и безопасности программных продуктов, минимизируя риски, связанные с зависимостями в CI/CD.

Цель – проанализировать атаки на цепочку зависимостей и определить эффективные методы решения рисков для обеспечения высокой безопасности процессов непрерывной интеграции и развертывания для улучшения практики разработки программного обеспечения путем выявления и устранения потенциальных уязвимостей и проблем стабильности, что обеспечивает более безопасные и надежные конвейеры доставки программного обеспечения, снижая вероятность сбоев и сбоев в производственных средах.

Метод и методология проведения работы. Данная работа включает в себя результаты как международных, так и местных научных исследований. Для выявления взаимосвязей и получения оригинальных выводов автор использует теоретические методы исследования, уделяя особое внимание поиску и анализу информации. Авторами применяются теоретические методы исследования, связанные с поиском и анализом информации для выявления связей и получения уникальных выводов.

Результаты. Проведен анализ рисков вредоносных зависимостей в процессе непрерывной интеграции и внедрения программного кода. Определены методы минимизации рисков злоупотребления зависимостями, необходимость внедрять многоуровневые меры безопасности, включая автоматизированные инструменты для мониторинга и анализа, строгий контроль доступа к репозиториям и использование криптографических методов для проверки целостности пакетов. Кроме того, регулярные аудиты и обучение сотрудников помогают поддерживать высокий уровень безопасности и осведомленности о потенциальных угрозах.

Область применения результатов. Полученные результаты целесообразно применять в области DevOps разработки с целью оптимизации процесса разработки и выпуска приложений путем устранения известного узкого места: минимизация рисков вредоносных зависимостей в процессе непрерывной интеграции.

Скачивания

Данные скачивания пока не доступны.

Биографии авторов

Danil N. Alekseev, ФГБОУ ВО «Казанский государственный энергетический университет»

студент кафедры «Информационные технологии и интеллектуальные системы»

Renat M. Khamitov, ФГБОУ ВО «Казанский государственный энергетический университет»

Associate Professor «Information Technologies and Intelligent Systems», Candidate of Technical Sciences

Литература

Список литературы

Будзко В. И. Развитие систем высокой доступности с применением технологии "большие данные" // Системы высокой доступности. 2013. Т. 9, № 4. С. 003-011.

Хамитов Р. М. Цифровизация образования и ее аспекты // Современные проблемы науки и образования. 2021. № 3. С. 8. https://doi.org/10.17513/spno.30771

Data Attack Surface Report Steve Morgan, Editor-in-Chief Northport, N.Y. June 8, 2020. URL: https://cybersecurityventures.com/wp-content/uploads/2020/12/ArcserveDataReport2020.pdf (дата обращения: 19.05.2024).

Introducing Package Source Mapping. URL: https://devblogs.microsoft.com/nuget/introducing-package-source-mapping/ (дата обращения: 20.05.2023).

Software composition analysis. URL: https://en.wikipedia.org/wiki/Software_composition_analysis (дата обращения: 20.05.2023).

Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies. URL: https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610 (дата обращения: 20.05.2024).

Mend Research Snapshot: Malicious Packages. URL: https://www.mend.io/malicious-package-research/ (дата обращения: 21.05.2023).

Learning Data Visualization in Assessing Linguistic Competence in the International Baccalaureate / O. M. Shevchenko, Yu. V. Torkunova, A. E. Upshinskaya, T. V. Shorina // European Proceedings of Social and Behavioural Sciences: Conference proceedings, Moscow, April 23-25, 2020. London: European Publisher, 2020. P. 1155-1164. https://doi.org/10.15405/epsbs.2020.11.03.122

The OWASP Foundation - OWASP Top 10 CI/CD Security Risks. URL: https://owasp.org/www-project-top-10-ci-cd-security-risks/ (дата обращения: 16.05.2024).

Дэвис Д. Эффективный DevOps: искусство управления IT / Д. Дэвис, К. Дэниелс. СПб : O’Reilly Media, 2016. 118 с.

Sharma S. The DevOps Adoption Playbook: A Guide to Adopting DevOps in a Multi-Speed IT Enterprise. Wiley, 2017. 416 p.

Wilson G. DevSecOps: A leader’s guide to producing secure software without compromising flow, feedback and continuous improvement. London: Rethink Press, 2020. 278 p.

Calvin S. P. Jenkins administrator’s guide: Install, Manage and Scale a Ci/Cd Build and Re-lease System to Accelerate Your Product Lifecycle / S. P. Calvin, J. Humble, P. Debois. Boston, UK: IT Revolution Press, 2021. 436 p.

Безопасность разработки в Agile-проектах / Л. Белл, М. Брантон-Сполл, Р. Смит, Д. Бэрд. пер. с англ. А. А. Слинкин. М.: ДМК Пресс, 2018. 448 с.

Джозеф Д. Microsoft Windows Server / Д. Джозеф, Л. Дэвис. Вашингтон: Эком, 2018. 303 с.

References

Budzko V. I. Development of high availability systems using “big data” technology. High Availability Systems, 2013, vol. 9, no. 4, pp. 003-011.

Khamitov R. M. Digitalization of education and its aspects. Modern problems of science and education, 2021, no. 3, p. 8. https://doi.org/10.17513/spno.30771

Data Attack Surface Report Steve Morgan, Editor-in-Chief Northport, N.Y. June 8, 2020. URL: https://cybersecurityventures.com/wp-content/uploads/2020/12/ArcserveDataReport2020.pdf (accessed 19.05.2024).

Introducing Package Source Mapping. URL: https://devblogs.microsoft.com/nuget/introducing-package-source-mapping/ (accessed 20.05.2023).

Software composition analysis. URL: https://en.wikipedia.org/wiki/Software_composition_analysis (accessed 20.05.2023).

Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies. URL: https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610 (accessed 20.05.2024).

Mend Research Snapshot: Malicious Packages. URL: https://www.mend.io/malicious-package-research/ (accessed 21.05.2023).

Learning Data Visualization in Assessing Linguistic Competence in the International Baccalaureate / O. M. Shevchenko, Yu. V. Torkunova, A. E. Upshinskaya, T. V. Shorina. European Proceedings of Social and Behavioral Sciences: Conference proceedings, Moscow, April 23-25, 2020. London: European Publisher, 2020, pp. 1155-1164. https://doi.org/10.15405/epsbs.2020.11.03.122

The OWASP Foundation - OWASP Top 10 CI/CD Security Risks. URL: https://owasp.org/www-project-top-10-ci-cd-security-risks/ (accessed 16.05.2024).

Davis D. Effective DevOps: the art of IT management / D. Davis, K. Daniels. SPb : O'Reilly Media, 2016, 118 p.

Sharma S. The DevOps Adoption Playbook: A Guide to Adopting DevOps in a Multi-Speed IT Enterprise. Wiley, 2017, 416 p.

Wilson G. DevSecOps: A leader's guide to producing secure software without compromising flow, feedback and continuous improvement. London: Rethink Press, 2020, 278 p.

Calvin S. P. Jenkins administrator's guide: Install, Manage and Scale a Ci/Cd Build and Re-lease System to Accelerate Your Product Lifecycle / S. P. Calvin, J. Humble, P. Debois. Boston, UK: IT Revolution Press, 2021, 436 p.

Development security in Agile projects / L. Bell, M. Brunton-Spoll, R. Smith, D. Baird. Moscow: DMK Press, 2018, 448 p.

Joseph D. Microsoft Windows Server / D. Joseph, L. Davis. Washington, DC: Ecom, 2018, 303 p.


Просмотров аннотации: 40
Загрузок PDF: 17
Опубликован
2024-10-31
Как цитировать
Alekseev, D., & Khamitov, R. (2024). АНАЛИЗ И МИНИМИЗАЦИЯ РИСКОВ ВРЕДОНОСНЫХ ЗАВИСИМОСТЕЙ В ПРОЦЕССЕ НЕПРЕРЫВНОЙ ИНТЕГРАЦИИ И ВНЕДРЕНИЯ ПРОГРАММНОГО КОДА. International Journal of Advanced Studies, 14(3), 100-116. https://doi.org/10.12731/2227-930X-2024-14-3-297
Раздел
Оригинальные статьи