Проектирование системы безопасности непрерывной разработки программного обеспечения на базе открытого программного обеспечения

Оглавление 5
Определения, обозначения и сокращения 7
ВВЕДЕНИЕ 11
1 Анализ системы безопасности в неприрывной разработке программного обеспечения 13
1.1 Основные принципы DevSecOps 13
1.2 Модели угроз в процессе непрерывной разработки 14
1.3 Основные компоненты и этапы процесса CI/CD 15
1.4 Принципы обеспечения безопасности на различных этапах CI/CD 18
2 Анализ современных решений на базе открытого программного обеспечения 20
2.1 Обзор существующих инструментов и платформ для CI/CD 20
2.2 Анализ наиболее распространенных решений для обеспечения безопасности 28
2.3 Оценка возможностей и ограничений открытого программного обеспечения для обеспечения безопасности 30
3 Проектирование системы безопасности для непрерывной разработки ПО 34
3.1 Определение требований к системе безопасности 34
3.2 Архитектура системы безопасности 34
3.3 Выбор и обоснование используемых инструментов и технологий 35
3.4 Модели взаимодействия компонентов системы безопасности 36
3.5 Планирование процессов и процедур обеспечения безопасности 36
4 Реализация и тестирование системы безопасности 38
4.1 Установка Docker-compose 38
4.2 Настройка контейнеров и получения начальных паролей 39
4.3 Интеграция инструменты 43
4.4 Представления Pipeline 48
4.5 Создание репозитория артефактов nexus и репозитория образов Docker 52
4.6 Создание репозитория артефактов nexus 55
Заключения 59
Список использованных источников 61
Приложение А 63
Приложение Б 65
Приложение В 67
Приложение Г 70

Весь текст будет доступен после покупки

В последние годы наблюдается значительный рост интереса к процессам непрерывного производства программного обеспечения (CI/CD), что связано с необходимостью выпускать программные продукты быстро и качественно. Но с преимуществами более быстрого производства и улучшения качества кода возникают серьезные проблемы с безопасностью. Дефекты программного обеспечения могут привести к значительным финансовым потерям, репутационному ущербу и другим негативным последствиям для компаний. Использование открытого программного обеспечение стало популярным при создании производственных систем благодаря его доступности, гибкости и большому сообществу. Однако использование таких инструментов также требует серьезного подхода к безопасности на всех этапах разработки программного обеспечения. Таким образом, актуальность данной работы связана с необходимостью разработки эффективных методов и средств обеспечения безопасности непрерывных производственных процессов с использованием открытого программного обеспечение. Целью данной работы является проектирование и реализация системы безопасности процесса непрерывной разработки программного обеспечения (CI/CD) на основе открытого программного обеспечение.

Весь текст будет доступен после покупки

1 АНАЛИЗ СИСТЕМЫ БЕЗОПАСНОСТИ В НЕПРИРЫВНОЙ РАЗРАБОТКЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
1.1 Основные принципы DevSecOps
DevSecOps - это подход, который объединяет разработку программного обеспечения, безопасность и операции в единую цепочку интеграции и доставки. Основная цель DevSecOps - это интеграция мер безопасности на всех этапах процесса разработки программного обеспечения, который включает в себя все этапы от планирования до развертывания и эксплуатации. В отличие от традиционных подходов, DevSecOps рассматривает данный аспект как постоянную часть процессов разработки и эксплуатации. Рассмотрим основные принципы DevSecOps.
Интеграция безопасности на ранних этапах:
? безопасность должна быть встроена в процесс разработки программного обеспечения с самого начала. Это означает определение требований безопасности на этапе планирования и их учет на всех последующих этапах;
? выявлять и устранить потенциальные уязвимости до того, как они возникнут, посредством анализа угроз и подхода, основанного на оценке рисков.
Автоматизация:
? обеспечение регулярного и последовательного выполнения тестов и анализа безопасности путем их автоматизации;
? включит инструменты автоматического сканирования кода, анализа уязвимостей и тестирования безопасности в конвейер CI/CD.
Культура безопасности:
? развивать культуру безопасности, в которой разработчики, специалисты по эксплуатации и менеджеры интегрируют вопросы безопасности в повседневную деятельность и принимают меры для повышения безопасности;
? проводить обучение сотрудников технике безопасности, чтобы каждый член команды понимал свою роль в обеспечении безопасности.
Непрерывный мониторинг и соблюдение требований:
? Постоянный мониторинг систем для выявления угроз и уязвимостей. Внедрение систем обнаружения вторжений, мониторинга журналов и других инструментов для мониторинга ситуации с безопасностью.
? обеспечение соответствия стандартам безопасности и нормативным требованиям на протяжении всего срока эксплуатации программного обеспечения.
Сотрудничество и интеграция
? обеспечение тесного сотрудничества между разработчиками, специалистами по безопасности и эксплуатационными группами, интеграция безопасности на всех уровнях;
? использовать общие инструменты и платформы для облегчения обмена информацией и обеспечения прозрачности между командами.
Внедрение DevSecOps позволяет обеспечить более высокий уровень безопасности в процессе разработки и эксплуатации программного обеспечения, снижая риски и повышая общую надежность и защищенность систем.

Весь текст будет доступен после покупки

1. Документация к Jenkins [Электронный ресурс] / Режим доступа: https://www.jenkins.io/doc, свободный (дата обращения 20.01.224)
2. Документация к SonarQube [Электронный ресурс] / Режим доступа: https://docs.sonarsource.com/sonarqube/latest/, свободный (дата обращения 26.02.2024)
3. Документация к Gitlab [Электронный ресурс] / Режим доступа: https://docs.gitlab.com/ee/, свободный (дата обращения 22.02.2024)
4. Документация к nexus [Электронный ресурс] / Режим доступа: https://help.sonatype.com/en/sonatype-nexus-repository.html, свободный (дата обращения 22.01.2024)
5. Документация к DevSecOps [Электронный ресурс] / Режим доступа: https://dodcio.defense.gov/Portals/0/Documents/Library/DevSecOpsTools-ActivitiesGuidebook.pdf, свободный (дата обращения 26.02.2024)
6. Документация к Travis Ci [Электронный ресурс] / Режим доступа: https://docs.travis-ci.com/, свободный (дата обращения 10.01.2024)
7. Документация к Cricle Ci [Электронный ресурс] / Режим доступа: https://circleci.com/docs/, свободный (дата обращения 12.02.2024)
8. Интеграция Jenkins с Nexus [Электронный ресурс] / Режим доступа: https://dev.to/appfleet/pu свободный (дата обращения 15.03.2024)
9. blishing-artifacts-to-sonatype-nexus-using-jenkins-pipelines-280o?comments_sort=latest, свободный (дата обращения 01.03.2024)
10. Интеграция Gitlab с Jenkins [Электронный ресурс] / Режим доступа: https://qaautomation.expert/2022/11/28/jenkins-gitlab-integration/, свободный (дата обращения 26.02.2024)

Весь текст будет доступен после покупки