DevSecOps

The article presents an approach to prioritizing security controls for CI/CD process. While this process enhances development speed and flexibility, it also increases the attack surface and introduces risks to software supply chains. The proposed approach integrates STRIDE threat modeling, NIST SSDF practices, and the Analytic Hierarchy Process (AHP) to support structured decision-making. Security controls have been first identified and adapted to CI/CD environments, after which potential threats have been analyzed using STRIDE.

Стаття поширюється за ліцензією Creative Commons Attribution-NonCommercial 4.0 (CC BY-NC 4.0)

У статті запропоновано та оцінено гібридний конвеєр LLM-SAST для середовищ безперервної інтеграції та доставки (CI/CD) хмарних телекомунікаційних систем, розгорнутих на кластерах Kubernetes. Швидка міграція мережевих функцій ядра 5G до контейнеризованих мікросервісних архітектур, де сервісно-орієнтована архітектура декомпонує монолітні мережеві елементи такі як AMF, SMF та PCF на незалежно розгортувані поди, значно розширює поверхню атаки.

Запропоновано фреймворк автоматизації безпеки розробки програмного забезпечення на основі підходу Security as Code із використанням багатоагентної системи штучного інтелекту. Дослідження спрямовано на усунення обмежень традиційних практик DevSecOps шляхом впровадження AI-агентів, які виконують автоматичний аналіз коду, генерують політики безпеки, забезпечують їхнє примусове виконання та моніторинг. Архітектура реалізує принцип «безпека як код» на всіх етапах CI/CD та runtime, забезпечуючи автономність прийняття рішень, адаптивність до загроз і зменшення навантаження на розробників.

У статті розглянуто актуальність інтеграції засобів аналізу вихідного коду, зокрема статичного (SAST) та динамічного (DAST), у сучасні процеси безпечної розробки програмного забезпечення на основі інноваційної методології DevSecOps. Виконано огляд наукових підходів та сучасних практик інтеграції інструментів безпеки в CI/CD-конвеєри, проаналізовано переваги та обмеження SAST і DAST, а також окреслено тенденції розвитку комбінованих методів безпеки.

Досліджено інтеграцію інформаційної безпеки у процеси гнучкої розробки програмного забезпечення (Agile) з акцентом на адаптацію методів DevSecOps. Метою було підвищення ефективності впровадження практик безпеки шляхом скорочення часу виявлення вразливостей, зменшення складності інтеграції безпеки в цикл розробки та підвищення рівня співпраці між командами. Аналіз показав, що автоматизація тесту- вання безпеки скорочує час виявлення вразливостей на 40%, а створення крос- функціональних команд підвищує рівень співпраці на 30%.