|
Аннотация.
В статье приводится анализ современных подходов к обеспечению безопасности программного обеспечения, таких как shift lef», zero trust и security gates. Авторами систематизированы существующие методы и инструменты защиты, осуществлен сравнительный анализ их эффективности и предложены способы их комплексного применения на разных стадиях жизненного цикла ПО. Исследование включает анализ современных научных публикаций и стандартов в области информационной безопасности, выделяя перспективы и ограничения каждого из подходов. Приведена ролевая модель, ее структура и потенциальные сценарии применения в реальных проектах разработки. Рассмотрена возможность интеграции инструментов статического и динамического анализа кода, защиты цепочек поставки и управления доступом в процессы DevSecOps. В результате анализа выявлены основные проблемы и направления дальнейших исследований, предложены рекомендации по совершенствованию существующих практик.
Ключевые слова:
информационная безопасность, разработка программного обеспечения, контроль безопасности, ролевые модели, уязвимости, анализ безопасности, статический анализ кода, динамическое тестирование, управление доступом, надежные системы.
DOI 10.14357/20718632250311
EDN OYTOZQ
Стр. 123-132.
Литература
1. Kim, G., Humble, J., Debois, P., & Willis, J. (2016). The DevOps Handbook: How to Create World-Class Agility, Reliability, & Security in Technology Organizations. IT Revolution Press. 2. Кузьмина, С. П. Роль пайплайнов в современной кибербезопасности: автоматизация, защита и реагирование на угрозы // Интернаука. 2024. № 33-1(350). С. 9-10. 3. Pitchford M. The ‘Shift Left’ Principle // New Electronics. 2021. № 14(54). pp. 18-21. – DOI: 10.12968/s0047-9624(22)60234-7. 4. Syed, N. F., Shah, S. W., Shaghaghi, A., Anwar, A., Baig, Z., Doss, R. Zero trust architecture (ZTA): A comprehensive survey // IEEE Access. 2022. c. 57143-57179. DOI: 10.1109/access.2022.3174679. 5. Rose, S., Borchert, O., Mitchell, S., Connelly, S. Zero Trust Architecture // NIST Special Publication 800-207. 2020. 6. How control gates can help secure the software development life cycle [Электронный ресурс]. URL: https://www.route-fifty.com/cybersecurity/2009/12/howcontrol-gates-can-help-secure-the-software-developmentlife-cycle/287743 (дата обращения: 05.01.2025). 7. Тулеубаева А.А., Норкина А.Н. Современные проблемы информационной безопасности в разработке программного обеспечения // Угрозы и риски финансовой безопасности в контексте цифровой трансформации: Материалы VII Международной научно-практической конференции Международного сетевого института в сфере ПОД/ФТ, Москва, 24 ноября 2021 года. – Москва: Национальный исследовательский ядерный университет "МИФИ", 2021. С. 670-676. 8. Køien, G. M. A Philosophy of Security Architecture Design // Wireless Personal Communications. 2020. № 3(113). С. 1615-1639. DOI: 10.1007/s11277-020-07310-5. 9. Селиверстов С.Д., Мироненко Ю.В. Обзор методологии DevSecOps и ее ключевых инструментов для внедрения и обеспечения безопасной разработки ПО // Cтудент года 2024 – сборник статей Международного научно-исследовательского конкурса. Пенза, 2024. C. 107-111. 10. Фатхи, В.А., Дьяченко Н.В. Тестирование безопасности приложений // Инженерный вестник Дона. 2021. № 5(77). С. 108-120. 11. Reddy Chittibala, D. DevSecOps: Integrating Security into the DevOps Pipeline // International Journal of Science and Research. 2023. № 12(12). C. 2074-2078. DOI 10.21275/sr24304171058. 12. Зиновьев, Л.Д., Каледа Р.А. Применение методов DevSecOps для интеграции безопасности в каждый этап жизненного цикла программного обеспечения // Информационные технологии в науке и образовании. Проблемы и перспективы: Сборник статей по материалам XI Всероссийской научно-практической конференции, г. Пенза, 13 марта 2024 года. Пенза: Пензенский государственный университет, 2024. С. 271-273. 13. Almuairfi S. Security controls in infrastructure as code // Computer Fraud & Security. 2020. № 10(2020). P. 13-19. DOI: 10.1016/S1361-3723(20)30109-3. 14. Малышев Е. А. Обеспечение информационной безопасности технологического конвейера разработки программного обеспечения // Интерэкспо Гео-Сибирь. 2023. № 2(7). С. 56-62.
|
