Анализ и минимизация рисков вредоносных зависимостей в процессе непрерывной интеграции и внедрения программного кода

Обложка

Цитировать

Полный текст

Аннотация

Процессы непрерывной интеграции и непрерывного развертывания (CI/CD) стали важнейшими элементами современной разработки программного обеспечения, обеспечивая автоматизацию и оптимизацию рабочих процессов. Однако эти процессы сопровождаются рисками, связанными с уязвимостями в цепочке зависимостей, что может привести к серьезным последствиям, таким как несанкционированный доступ и утечка данных. В статье рассматривается необходимость внедрения надежных механизмов обнаружения и смягчения рисков зависимостей для повышения надежности CI/CD.

Основной риск в процессах CI/CD связан с эксплуатацией вредоносных зависимостей, используемых в процессе сборки и развертывания программного обеспечения. Основные виды атак включают путаницу зависимостей, перехват зависимостей и киберсквоттинг опечаток. Для предотвращения этих угроз предлагаются различные методы защиты, такие как контроль доступа к приватным пакетам, использование автоматизированных инструментов для мониторинга и проверки зависимостей, а также внедрение систем машинного обучения для обнаружения подозрительных пакетов. Эти меры направлены на обеспечение целостности и безопасности программных продуктов, минимизируя риски, связанные с зависимостями в CI/CD.

Цель – проанализировать атаки на цепочку зависимостей и определить эффективные методы решения рисков для обеспечения высокой безопасности процессов непрерывной интеграции и развертывания для улучшения практики разработки программного обеспечения путем выявления и устранения потенциальных уязвимостей и проблем стабильности, что обеспечивает более безопасные и надежные конвейеры доставки программного обеспечения, снижая вероятность сбоев и сбоев в производственных средах.

Метод и методология проведения работы. Данная работа включает в себя результаты как международных, так и местных научных исследований. Для выявления взаимосвязей и получения оригинальных выводов автор использует теоретические методы исследования, уделяя особое внимание поиску и анализу информации. Авторами применяются теоретические методы исследования, связанные с поиском и анализом информации для выявления связей и получения уникальных выводов.

Результаты. Проведен анализ рисков вредоносных зависимостей в процессе непрерывной интеграции и внедрения программного кода. Определены методы минимизации рисков злоупотребления зависимостями, необходимость внедрять многоуровневые меры безопасности, включая автоматизированные инструменты для мониторинга и анализа, строгий контроль доступа к репозиториям и использование криптографических методов для проверки целостности пакетов. Кроме того, регулярные аудиты и обучение сотрудников помогают поддерживать высокий уровень безопасности и осведомленности о потенциальных угрозах.

Область применения результатов. Полученные результаты целесообразно применять в области DevOps разработки с целью оптимизации процесса разработки и выпуска приложений путем устранения известного узкого места: минимизация рисков вредоносных зависимостей в процессе непрерывной интеграции.

Об авторах

Данил Николаевич Алексеев

ФГБОУ ВО «Казанский государственный энергетический университет»

Автор, ответственный за переписку.
Email: danil.core7@gmail.com

студент кафедры «Информационные технологии и интеллектуальные системы»

Россия, ул. Красносельская, 51, г. Казань, 420066, Российская Федерация

Ренат Минзашарифович Хамитов

ФГБОУ ВО «Казанский государственный энергетический университет»

Email: hamitov@gmail.com
ORCID iD: 0000-0002-9949-4404
SPIN-код: 7401-9166
Scopus Author ID: 57222149321
ResearcherId: ADQ-3954-2022

доцент кафедры «Информационные технологии и интеллектуальные системы»

Россия, ул. Красносельская, 51, г. Казань, 420066, Российская Федерация

Список литературы

  1. Будзко В. И. Развитие систем высокой доступности с применением технологии "большие данные" // Системы высокой доступности. 2013. Т. 9, № 4. С. 003-011.
  2. Хамитов Р. М. Цифровизация образования и ее аспекты // Современные проблемы науки и образования. 2021. № 3. С. 8. https://doi.org/10.17513/spno.30771
  3. Data Attack Surface Report Steve Morgan, Editor-in-Chief Northport, N.Y. June 8, 2020. URL: https://cybersecurityventures.com/wp-content/uploads/2020/12/ArcserveDataReport2020.pdf (дата обращения: 19.05.2024).
  4. Introducing Package Source Mapping. URL: https://devblogs.microsoft.com/nuget/introducing-package-source-mapping/ (дата обращения: 20.05.2023).
  5. Software composition analysis. URL: https://en.wikipedia.org/wiki/Software_composition_analysis (дата обращения: 20.05.2023).
  6. Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies. URL: https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610 (дата обращения: 20.05.2024).
  7. Mend Research Snapshot: Malicious Packages. URL: https://www.mend.io/malicious-package-research/ (дата обращения: 21.05.2023).
  8. Learning Data Visualization in Assessing Linguistic Competence in the International Baccalaureate / O. M. Shevchenko, Yu. V. Torkunova, A. E. Upshinskaya, T. V. Shorina // European Proceedings of Social and Behavioural Sciences: Conference proceedings, Moscow, April 23-25, 2020. London: European Publisher, 2020. P. 1155-1164. https://doi.org/10.15405/epsbs.2020.11.03.122
  9. The OWASP Foundation - OWASP Top 10 CI/CD Security Risks. URL: https://owasp.org/www-project-top-10-ci-cd-security-risks/ (дата обращения: 16.05.2024).
  10. Дэвис Д. Эффективный DevOps: искусство управления IT / Д. Дэвис, К. Дэниелс. СПб : O’Reilly Media, 2016. 118 с.
  11. Sharma S. The DevOps Adoption Playbook: A Guide to Adopting DevOps in a Multi-Speed IT Enterprise. Wiley, 2017. 416 p.
  12. Wilson G. DevSecOps: A leader’s guide to producing secure software without compromising flow, feedback and continuous improvement. London: Rethink Press, 2020. 278 p.
  13. Calvin S. P. Jenkins administrator’s guide: Install, Manage and Scale a Ci/Cd Build and Re-lease System to Accelerate Your Product Lifecycle / S. P. Calvin, J. Humble, P. Debois. Boston, UK: IT Revolution Press, 2021. 436 p.
  14. Безопасность разработки в Agile-проектах / Л. Белл, М. Брантон-Сполл, Р. Смит, Д. Бэрд. пер. с англ. А. А. Слинкин. М.: ДМК Пресс, 2018. 448 с.
  15. Джозеф Д. Microsoft Windows Server / Д. Джозеф, Л. Дэвис. Вашингтон: Эком, 2018. 303 с.

Дополнительные файлы

Доп. файлы
Действие
1. JATS XML
Скачать

© Алексеев Д.Н., Хамитов Р.М., 2024

Creative Commons License
Эта статья доступна по лицензии Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

Согласие на обработку персональных данных с помощью сервиса «Яндекс.Метрика»

1. Я (далее – «Пользователь» или «Субъект персональных данных»), осуществляя использование сайта https://journals.rcsi.science/ (далее – «Сайт»), подтверждая свою полную дееспособность даю согласие на обработку персональных данных с использованием средств автоматизации Оператору - федеральному государственному бюджетному учреждению «Российский центр научной информации» (РЦНИ), далее – «Оператор», расположенному по адресу: 119991, г. Москва, Ленинский просп., д.32А, со следующими условиями.

2. Категории обрабатываемых данных: файлы «cookies» (куки-файлы). Файлы «cookie» – это небольшой текстовый файл, который веб-сервер может хранить в браузере Пользователя. Данные файлы веб-сервер загружает на устройство Пользователя при посещении им Сайта. При каждом следующем посещении Пользователем Сайта «cookie» файлы отправляются на Сайт Оператора. Данные файлы позволяют Сайту распознавать устройство Пользователя. Содержимое такого файла может как относиться, так и не относиться к персональным данным, в зависимости от того, содержит ли такой файл персональные данные или содержит обезличенные технические данные.

3. Цель обработки персональных данных: анализ пользовательской активности с помощью сервиса «Яндекс.Метрика».

4. Категории субъектов персональных данных: все Пользователи Сайта, которые дали согласие на обработку файлов «cookie».

5. Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.

6. Срок обработки и хранения: до получения от Субъекта персональных данных требования о прекращении обработки/отзыва согласия.

7. Способ отзыва: заявление об отзыве в письменном виде путём его направления на адрес электронной почты Оператора: info@rcsi.science или путем письменного обращения по юридическому адресу: 119991, г. Москва, Ленинский просп., д.32А

8. Субъект персональных данных вправе запретить своему оборудованию прием этих данных или ограничить прием этих данных. При отказе от получения таких данных или при ограничении приема данных некоторые функции Сайта могут работать некорректно. Субъект персональных данных обязуется сам настроить свое оборудование таким способом, чтобы оно обеспечивало адекватный его желаниям режим работы и уровень защиты данных файлов «cookie», Оператор не предоставляет технологических и правовых консультаций на темы подобного характера.

9. Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований определяется Оператором в соответствии с законодательством Российской Федерации.

10. Я согласен/согласна квалифицировать в качестве своей простой электронной подписи под настоящим Согласием и под Политикой обработки персональных данных выполнение мною следующего действия на сайте: https://journals.rcsi.science/ нажатие мною на интерфейсе с текстом: «Сайт использует сервис «Яндекс.Метрика» (который использует файлы «cookie») на элемент с текстом «Принять и продолжить».