TY - JOUR AU - Susukailo, Vitalii PY - 2021/12/30 Y2 - 2024/03/29 TI - ВИКОРИСТАННЯ ПІДХОДУ DEVSECOPS ДЛЯ АНАЛІЗУ СУЧАСНИХ ЗАГРОЗ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ JF - Електронне фахове наукове видання «Кібербезпека: освіта, наука, техніка» JA - Кібербезпека: освіта, наука, техніка VL - 2 IS - 14 SE - Статті DO - 10.28925/2663-4023.2021.14.2635 UR - https://csecurity.kubg.edu.ua/index.php/journal/article/view/311 SP - 26-35 AB - <p>У даній статті подано дослідження використання підходу DevSecOps для аналізу сучасних загроз. Визначення методології для реалізації та адаптації DevSecOps підходу. DevSecOps у даній статті подано як підхід до культури розробки, автоматизації та дизайну інформаційної платформи, який інтегрує безпеку як спільну відповідальність протягом усього життєвого циклу розробки програмного забезпечення. Підхід, описаний у даній статті, допомагає вирішити проблему впровадження контролей безпеки в процесі розробки програмного забезпечення. Визначений підхід дозволяє організації постійно вбудовувати безпеку в SDLC, щоб команди DevOps могли швидко та якісно розробляти безпечні програми. Досліджується можливість впровадження безпеки на ранніх етапах розробки програмного забезпечення в робочий процес, так як &nbsp;це дозволить швидше виявити та усунути слабкі та вразливі місця безпеки. Ця концепція є частиною «зміщення ліворуч», яка переміщує тестування безпеки до розробників, що дозволяє їм виправляти проблеми безпеки в своєму коді майже в реальному часі, а не чекати до кінця SDLC, де безпека була закріплена в традиційних середовищах розробки. Описано бізнес процеси для мінімізації ризиків пов’язані з сучасними загрозами та вразливостями нульового дня у рамках DevSecOps підходу. Проведено аналіз SAST (Static Application Security Testing), DAST (Dynamic Application Security Testing), SCA (Software Composition Analysis) застосунків для оцінки можливого використання даних технологій для оптимізації процесу безпечної розробки додатків. Подано процес DevSecOps для організацій, що зможуть легко інтегрувати безпеку в свою існуючу практику безперервної інтеграції та безперервної доставки (CI/CD). DevSecOps процес в даній статті охоплює весь SDLC від планування та проектування до кодування, побудови, тестування та випуску, з безперервним зворотним зв’язком в реальному часі та сформовано технічні контролі процесу DevSecOps у відповідності до ISO 27001/02 та NIST стандартів.</p> ER -