Με την ολοένα και αυξανόμενη υιοθέτηση των πρακτικών DevOps και την άνοδο του Continuous Integration/Continuous Deployment (CI/CD) στην ανάπτυξη λογισμικού, ο κύκλος ζωής ανάπτυξης λογισμικού (SDLC) έχει επιφέρει σημαντικές αλλαγές στη βιομηχανία. Αν και αυτές οι μέθοδοι προσφέρουν πολλά πλεονεκτήματα, παρουσιάζουν επίσης μοναδικές προ κλήσεις ασφαλείας, καθώς οι εφαρμογές που αναπτύσσονται με αυτές είναι πιο επιρρεπείς σε κυβερνοεπιθέσεις συγκριτικά με τις παραδοσιακές μεθόδους ανάπτυξης λογισμικού. Το DevSecOps, ένας συνδυασμός πρακτικών ανάπτυξης (Dev), ασφάλειας (Sec) και λειτουργιών (Ops), έχει αναδειχθεί ως μια κρίσιμη προσέγγιση στην ασφάλεια λογισμικού στο σημερινό ταχέως εξελισσόμενο τεχνολογικό τοπίο. Αυτή η μεθοδολογία είναι ουσιαστική και σχετική για διάφορους λόγους. Πρώτον, αντιμετωπίζει την αυξανόμενη ανάγκη για ασφάλεια στην ανάπτυξη λογισμικού. Καθώς οι απειλές και οι επιθέσεις στον κυβερνοχώρο γίνονται πιο εξελιγμένες, η ενσωμάτωση της ασφάλειας στον αγωγό DevOps βοηθά τους οργανισμούς να εντοπίζουν και να μετριάζουν προληπτικά τις ευπάθειες από το πρώιμο στάδιο ανάπτυξης του λογισμικού, μειώνοντας τον κίνδυνο παραβίασης δεδομένων και διακοπής λειτουργίας. Δεύτερον, η ανάγκη για ταχύτερες και συχνότερες εκδόσεις λογισμικού απαιτεί μια μετατόπιση από τις παραδοσιακές πρακτικές ασφαλείας, οι οποίες συχνά προκαλούν καθυστε ρήσεις. Το DevSecOps απλοποιεί την ασφάλεια αυτοματοποιώντας τις δοκιμές και τους ελέγχους συμμόρφωσης, επιτρέποντας τη συνεχή παράδοση (CD) χωρίς να θυσιάζεται η ασφάλεια. Επιπλέον, το DevSecOps ενθαρρύνει μια κουλτούρα κοινής ευθύνης, ενισχύοντας τη συνεργασία μεταξύ προγραμματιστών, επαγγελματιών ασφάλειας και ομάδων επιχειρήσεων. Αυτή η συλλογική προσέγγιση οδηγεί σε βελτιωμένη επικοινωνία, βελτιωμένη επίγνωση των ανη συχιών για την ασφάλεια και ταχύτερη απόκριση σε αναδυόμενες απειλές. Σε μια εποχή όπου ο ψηφιακός μετασχηματισμός βρίσκεται στην πρώτη γραμμή των επιχει ρηματικών στρατηγικών, το DevSecOps είναι απαραίτητο για τη διασφάλιση της ανθεκτικότητας, της ακεραιότητας και της εμπιστευτικότητας των συστημάτων λογισμικού. Ευθυγραμμίζει την ασφάλεια με το ρυθμό της σύγχρονης ανάπτυξης λογισμικού, καθιστώντας το ένα κρίσιμο και επίκαιρο παράδειγμα για τη διαφύλαξη των ψηφιακών δεδομένων και περιουσιακών στοιχείων. Η παρούσα διπλωματική προτείνει μια μέθοδο για τη συμπλήρωση και την αυτοματοποίηση σαρώσεων ασφάλειας έργων λογισμικού με χρήση αποκλειστικά εργαλείων ανοιχτού κώδικα (Open-source software) για την πραγματοποίηση των σαρώσεων ασφάλειας, την παρακολούθηση των αποτελεσμάτων και την αυτοματοποίηση επιδιορθώσεων ευπαθειών. Η προτεινόμενη έρευνα έχει ενσωματωθεί σε υποδομή Continuous Integration/Continuous Delivery, επιτρέποντας την αυτόματη σάρωση και επιδιόρθωση τρωτών σημείων κατά τη διαδικασία και τον κύκλο ανάπτυξης και παράδοσης του λογισμικού.
3. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας
έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery
Νοέμβριος 2023 3
ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ
DevOps
80%
Πάνω από το 80%
των επιχειρήσεων
εφαρμόζουν πλέον
DevOps, το οποίο θα
αυξηθεί στο 94% στο
εγγύς μέλλον.
Πηγή: Puppet
$25.5 86%
Το 86% των
επιχειρήσεων
αναγνωρίζει ότι η αξία
του DevOps είναι
σημαντική.
Πηγή: Harvard Business
Review
Η παγκόσμια
αγορά DevOps
θα ξεπεράσει τα
25,5
δισεκατομμύρια
δολάρια το
2028.
Πηγή: Linker
4. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας
έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery
Νοέμβριος 2023 4
ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ
Ολοένα και αυξανόμενη ανάγκη
υιοθέτησης πρακτικών DevOps στην
βιομηχανία
Πηγή:N-ix
5. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας
έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery
Νοέμβριος 2023 5
ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ
Security
• 3/10 συχνότερες διαδικτυακές
επιθέσεις οφείλονται σε
προβλήματα και θέματα
σχεδίασης και λανθασμένων
διαμορφώσεων
(misconfigurations) στην
ανάπτυξη λογισμικού.
• Η κατηγορία Α06.Vulnerable
and Outdated Components
ανέβηκε τρείς θέσεις από τη
θέση 9 στην έρευνα του 2017.
• Ένδειξη της ανάγκης
υιοθέτησης μεθόδων και
πρακτικών ασφάλειας, από το
πρώιμο στάδιο ανάπτυξης του
λογισμικού
Πηγή: OWASP Top 10 2021
6. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας
έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery
Νοέμβριος 2023 6
ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ
$4.45 Εκατομμύρια: Το κόστος μιας διαρροής πληροφοριών το 2023,
15% αύξηση μέσα σε 3 χρόνια.
Πηγή: IBM, Data Breach Report 2023
7. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας
έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery
Νοέμβριος 2023 7
ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ
DevSecOps
• Mια προσέγγιση ανάπτυξης λογισμικού που
ενσωματώνει πρακτικές ασφάλειας
στον κύκλο ζωής του DevOps.
• Bοηθά τους οργανισμούς να εντοπίζουν και
να αποκαθιστούν τα τρωτά σημεία
ασφάλειας νωρίς στη διαδικασία ανάπτυξης.
• Μειώνει τον κίνδυνο παραβιάσεων
βελτιώνοντας τη συνολική ποιότητα του
λογισμικού.
Πηγή: XALT
8. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας
έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery
Νοέμβριος 2023 8
ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ
Η ανάπτυξη ενός δωρεάν και open-source εργαλείου το οποίο:
1. Θα εκτελεί αυτοματοποιημένο έλεγχο ασφάλειας για πιθανές
ευπάθειες τόσο από την μεριά του στατικού κώδικα (SAST) όσο
και από την μεριά του δυναμικού του ελέγχου (DAST).
2. Θα είναι ενσωματωμένο σε υποδομή CI/CD με σκοπό να
ικανοποιεί το κομμάτι του DevSecOps.
3. Θα παραθέτει και θα εξάγει αναφορές με τα αποτελέσματα
των ευρημάτων και θα προτείνει πιθανές λύσεις για τη
γρήγορη και εύκολη επιδιόρθωση τους.
Τι είναι…
15. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας
έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery
Νοέμβριος 2023 15
ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ
Juice Shop vulnerabilities
16. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας
έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery
Νοέμβριος 2023 16
ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ
• Η χρήση του εργαλείου που υλοποιήθηκε αποδεικνύεται έγκυρη και είναι εύλογη η
αυτοματοποίηση του σε έργα ανάπτυξης λογισμικού.
• Σε καμία περίπτωση όμως, δεν μπορούμε να παραμελίσουμε την αξία ενός χειροκίνητου
ελέγχου ασφάλειας, Penetration Testing, από έναν εξειδικευμένο επαγγελματία.
Συμπεράσματα
• Ίσως να αποκτούσαμε καλύτερα
αποτελέσματα και πιο αρκιβή
αποτελέσματα, αν χρησιμοποιούσαμε
commercial εργαλεία, αλλά όπως
αναφέραμε η παρούσα έρευνα
επικεντρώθηκε στη χρήση
αποκλειστικά ανοικτού κώδικα
εργαλείων, κάτι το οποίο στην
βιβλιογραφία δεν έχει υλοποιηθεί.
17. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας
έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery
Νοέμβριος 2023 17
ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ
• Υλοποίηση Graphical User Interface, έτσι ώστε να διευκολύνεται η χρήση του εργαλείου
και να παρουσιάζονται τα αποτελέσματα με έναν πιο γραφικό και εύχρηστο τρόπο.
• Υλοποίηση του συνόλου του εργαλείου σε κάποιο Docker container, έτσι ώστε να
διευκολύνεται η διανομή του και η εγκατάσταση του στις διάφορες ομάδες
προγραμματιστών και project ανάπτυξης λογισμικού.
• Ανάπτυξη και επέκταση του εργαλείου που υλοποιήθηκε, με γνώμωνα να μπορεί να εκτελεί
και άλλους πιο περίπλοκους ελέγχους ασφάλειας, όπως για παράδειγμα Behavioral Driven
και Interactive ελέγχους με τη βοήθεια κάποιου automation framework όπως είναι γνωστό
στη βιβiλιογραφία ως IAST (Interactive application security testing), ή και ελέγχους
που να στοχεύουν πιο εξειδικευμένες κατηγορίες ευπαθειών και επιθέσεων.
• Στατιστική ανάλυση των μετρικών των αποτελεσμάτων των ελέγχων του εργαλείου,
συγκέντρωση και μαθηματική αξιολόγηση τους, και κατ ́επέκταση σύγκριση τους με άλλα
εργαλεία σαρώσεων ελέγχων ασφάλειας που υπάρχουν στην βιομηχανία ή στη
βιβλιογραφία.
Μελλοντική Έρευνα
18. Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας
έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery
Νοέμβριος 2023 18
ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ
“There are two types of
companies:
those that have been hacked,
and those that will be”
– Robert S. Mueller, former Director of the FBI
19. Ευχαριστώ για την προσοχή σας!
Σχεδιασμός και υλοποίηση πλήρους και αυτοματοποιημένου εργαλείου ελέγχων ασφάλειας
έργων λογισμικού ενσωματωμένου σε υποδομή Continuous Integration Continuous Delivery
Νοέμβριος 2023 19
ΚΙΝΗΤΡΟ ΣΚΟΠΟΣ ΜΕΘΟΔΟΛΟΓΙΑ ΑΠΟΤΕΛΕΣΜΑΤΑ ΣΥΜΠΕΡΑΣΜΑΤΑ ΜΕΛΛΟΝΤΙΚΗ ΕΡΕΥΝΑ