СПЕЦИАЛЬНЫЙ ВЫПУСК
Enhancing DevSecOps with continuous security requirements analysis and testing
[Улучшение DevSecOps с помощью непрерывного анализа и тестирования требований безопасности]
A. Sadovykha,
V. Ivanovb a SOFTEAM,
France
b Innopolis University,
1 Universitetskaya st., Innopolis, 420500, Russia
Аннотация:
DevSecOps требует интеграции безопасности на каждом этапе разработки программного обеспечения для обеспечения безопасных и соответствующих требованиям приложений. Традиционные методы тестирования безопасности, часто выполняемые на поздних этапах разработки, недостаточны для решения задач, связанных с непрерывной интеграцией и непрерывной доставкой (CI/CD), особенно в сложных, критически важных секторах, таких как промышленная автоматизация. В данной статье мы предлагаем подход, который автоматизирует анализ и тестирование требований безопасности путем встраивания проверки требований в конвейер CI/CD. Наш метод использует инструмент ARQAN для сопоставления высокоуровневых требований безопасности с Руководствами по технической реализации безопасности (STIGs) с помощью семантического поиска, а также RQCODE для формализации этих требований в виде кода, предоставляя тестируемые и поддающиеся исполнению руководства по безопасности. Мы внедрили ARQAN и RQCODE в рамках CI/CD, интегрировав их с GitHub Actions для обеспечения проверки безопасности в реальномврем ени и автоматической проверки соответствия. Наш подход поддерживает стандарты безопасности, такие как IEC 62443, и автоматизирует оценку безопасности, начиная с этапа планирования, улучшая прослеживаемость и согласованность практик безопасности на протяжении всего конвейера. Предварительная оценка этого подхода в сотрудничестве с компанией по промышленной автоматизации показывает, что он эффективно охватывает критические требования безопасности, достигая автоматического соответствия 66,15% руководств STIG, относящихся к платформе Windows 10. Обратная связь от отраслевых специалистов подчеркивает его практичность: 85% требований безопасности сопоставлены с конкретными рекомендациями STIG, и 62% из этих требований имеют соответствующие тестируемые реализации в RQCODE. Эта оценка подчеркивает потенциал подхода для сдвига проверки безопасности на более ранние этапы разработки, способствуя более устойчивому и безопасному жизненному циклу DevSecOps.
Ключевые слова:
кибербезопасность, DevSecOps, DevOps, непрерывная интеграция, требования, требования к проектированию, тесты, обработка естественного языка, машинное обучение, SBERT, RQCODE, ARQAN, GITHUB
УДК:
004.056
Поступила в редакцию: 27.10.2024
Исправленный вариант: 12.11.2024
Принята в печать: 25.11.2024
Язык публикации: английский
DOI:
10.20537/2076-7633-2024-16-7-1687-1702
Полный текст:
PDF файл (1753 kB)