Адаптація інформаційної безпеки у світі Agile

Тарас Чура; Ю. М. Костів

Досліджено інтеграцію інформаційної безпеки у процеси гнучкої розробки програмного забезпечення (Agile) з акцентом на адаптацію методів DevSecOps. Метою було підвищення ефективності впровадження практик безпеки шляхом скорочення часу виявлення вразливостей, зменшення складності інтеграції безпеки в цикл розробки та підвищення рівня співпраці між командами. Аналіз показав, що автоматизація тесту- вання безпеки скорочує час виявлення вразливостей на 40%, а створення крос- функціональних команд підвищує рівень співпраці на 30%. Крім того, впровадження DevSecOps зменшує кількість вразливостей на 35% і знижує фінансові втрати від кібератак на 25%. Дослідження також виявило ключові виклики інтеграції, такі як культурні бар’єри між командами та технічна складність використання інструментів безпеки, а також перспективи розвитку, зокрема застосування штучного інтелекту для підвищення точності виявлення загроз. Висновки підкреслюють важливість проактив- ного підходу до безпеки, автоматизації перевірок за допомогою інструментів SAST і DAST, а також необхідність навчання персоналу для формування культури «Security- first». Результати можуть бути використані для впровадження безпеки в середовищах із високими темпами змін, а також для подальшого розвитку підходів до інтеграції DevSecOps в Agile.

Beznosov K., Kruchten P. Towards a Framework for Secure Agile Software Development. IEEE Transactions on Software Engineering. 2022. 48(10). 3921–3935. Doi: https://doi.org/10.1109/TSE.2021.3109567.
Maier P. et al. Towards a Secure SCRUM Process for Agile Web Application Development. In Proceedings of the 12th International Conference on Availability, Reliability and Security. 2017. Pp. 1–8. Doi: https://doi.org/10.1145/3098954.3103171.
Siponen M. et al. Integrating Security into Agile Development Methods. Information Management & Computer Security. 2005. 13(5). 390–405. Doi: https://doi.org/10.1108/09685220510627268.
Abiona O. O. et al. The Emergence and Importance of DevSecOps: Integrating and Reviewing Security Practices. WJAETS. 2024. 11(2), 0093. Doi: https://doi.org/10.30574/wjaets.2024.11.2.0093.
Veeramachaneni V. A Systematic Review of DevSecOps: Bridging Security and Agile Development. NQ, 2023. 21(7), nq23114. Doi: https://doi.org/10.48047/nq.2023.21.7.nq23114.
Salin H., Lundgren M. Towards Agile Cybersecurity Risk Management for Autonomous Teams. JCP. 2022. 2(2), 0015. Doi: https://doi.org/10.3390/jcp2020015.
Rafi S. et al. Prioritization Based Taxonomy of DevOps Security Challenges Using PROMETHEE. IEEE Access. 2020. 8, 999887. Doi: https://doi.org/10.1109/ACCESS.2020.2999887.
Rajapakse R. N. et al. An Empirical Analysis of Practitioners’ Perspectives on Security Tool Integration into DevOps. In Proceedings of the 15th ACM/IEEE International Symposium on Empirical Software Engineering and Measurement. 2021. Pp. 1–11. Doi: https://doi.org/10.1145/3475716.3475776.
Prates L., Pereira R. DevSecOps Practices and Tools: A Multivocal Literature Review. International Journal of Information Security. 2025. 24(1), 914. Doi: https://doi.org/10.1007/s10207-024-00914-z.
Маруняк С. Т. Застосування сучасних підходів до забезпечення інформаційної безпеки в інфоко- мунікаційних мережах. Вісник Хмельницького національного університету. 2024(3.2), 08. Doi: https://doi.org/ 10.32782/2663-5941/2024.3.2/08.
IEEE. The Practice and Application of a Novel DevSecOps Platform in Cloud Internet Integration. In Proceedings of the IEEE International Conference on Software Engineering. 2023 (pp. 00035). Doi: https://doi.org/10.1109/ICSE59065.2023.00035.
IEEE. Action Research on the DevSecOps Pipeline. In Proceedings of the IEEE International Conference on Software Engineering. 2023 (pp. 00036). Doi: https://doi.org/10.1109/ICSE59065.2023.00036.
Myrbakken H., Colomo-Palacios R. DevSecOps: A Multivocal Literature Review. In Software Process Improvement and Capability Determination. 2017. Pp. 17–29. Doi: https://doi.org/10.1007/978-3-319-67383-7_2.
Moyon F. et al. Integration of Security Standards in DevOps Pipelines: An Industry Case Study. In Product-Focused Software Process Improvement. 2020. Pp. 434–452. Doi: https://doi.org/10.1007/978-3-030-64148- 1_27.
Efendi M. et al. DevSecOps Approach in Software Development – Case Study. In Proceedings of the International Conference on Informatics, Multimedia, Cyber and Information System. 2021 (pp. 9699316). Doi: https://doi.org/10.1109/ICIMCIS53775.2021.9699316.
Boehm B., Turner R. Using Risk to Balance Agile and Plan-Driven Methods. Computer. 2003. 36(6). 57– 66. Doi: https://doi.org/10.1109/MC.2003.1204376.
Valdés-Rodríguez Y. et al. Towards the Integration of Security Practices in Agile Software Development: A Mapping Review. Applied Sciences. 2023. 13(7), 4578. Doi: https://doi.org/10.3390/app13074578.
Mao R. et al. DevSecOps in Practice: A Multivocal Literature Review on Security Integration. Journal of Systems and Software. 2023. 205, 111823. Doi: https://doi.org/10.1016/j.jss.2023.111823.
DevSecOps: A Comprehensive Review of Practices, Tools, and Challenges. Information and Software Technology. 2021. 138, 106700. Doi: https://doi.org/10.1016/j.infsof.2021.106700.
Security in Agile Development: A Practitioner’s Perspective. In Sixth International Conference on Availability, Reliability and Security. 2011 (pp. 82–89). Doi: https://doi.org/10.1109/ARES.2011.82.