Вас вітає Інтернет конференція!
Вітаємо на нашому сайті
МЕТОДИКА ОЦІНЮВАННЯ ЗАХИЩЕНОСТІ CI/CD КОНВЕЄРІВ
08.06.2023 23:35
[1. Інформаційні системи і технології]
Автор: Пашинський Максим Олександрович, студент, Національний технічний університет України «Київський Політехнічний Інститут імені Ігоря Сікорського», м. Київ
CI/CD (безперервна інтеграція / безперервна доставка) як підхід до розробки програмного забезпечення є досить об’ємною та багатогранною темою. Ключовими рисами цього підходу є автоматизація та безперервність більшості процесів [1].
Взявши до уваги CI/CD конвеєр, що уособлює процес розробки ПЗ з застосуванням CI/CD, описати його як незмінну систему з сталими компонентами і характеристиками неможливо. Це зумовлюється різноманітністю інструментів та технологій, середовищ розробки, вимог до проектів та постійною еволюцією і вдосконаленням. Ронні Шаніел в своєму блозі [2] найбільш влучно пояснює абстрактність архітектури CI/CD. За його словами, тримаючи в голові думку про абстрактність елементів конвеєра та зв’язків між ними, можна обговорювати архітектуру CI/CD незалежно від інструментів і деталей її реалізації.
В рамках дослідження було прийнято рішення побудувати модель структури CI/CD конвеєра для виявлення компонентів які можуть бути вразливими і подальшої ідентифікації загроз (рис. 1).
Що до безпеки CI/CD, через описане вище задача її забезпечення також є досить складною. Для досягнення цілей безпеки відносно DevOps та CI/CD середовищ, згідно з офіційною документацією Microsoft Security Benchmark [3] слід виявити потенційні вразливості і ризики (DS-1) та впровадити відповідні засоби контролю безпеки для зменшення цих ризиків (DS-2 - DS-7).
Для виявлення та класифікації загроз CI/CD середовищу можна скористатись методом STRIDE (Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege). Його використання забезпечує структурний підхід з застосуванням класифікації загроз за їх типами і шляхами реалізації.
Для оцінки критичності реалізації загроз підійде використання системи оцінки вразливостей Common Vulnerability Scoring System. CVSS створена для багатосторонньої оцінки вразливостей, тому в її основі лежать три оцінки:
●Base Score - якісна оцінка вразливості, незалежна від часу та оточення;
●Temporal Score - оцінка, що залежить від часу виявлення та усунення вразливості;
●Environmental Score - оцінка, що залежить від оточення і специфічних умов реалізації вразливості.
Для визначення кожної з трьох оцінок використовуються відповідні набори метрик:
●Base Metrics - Access Vector (AV), Access Complexity (AC), Authentication (Au), підклас метрик Impact Metrics, що визначають вплив вразливості на конфіденційність (C), Цілісність (I) та Доступність (A);
●Temporal Metrics - Exploitability (E), Remediation Level (RL), Report Confidence (RC);
●Environmental Metrics - Collateral Damage Potential (CDP), Target Distribution (TD) та Impact Score Modifier, що вносить корективи щодо впливу на конфіденційність, цілісність та доступність.
Було прийнято рішення застосувати описані вище методи роботи з загрозами та вразливостями на розробленій абстрактній моделі CI/CD конвеєра для виявлення потенційних загроз та оцінки серйозності наслідків при їх реалізації.
Застосувавши метод STRIDE на CI/CD конвеєрі, ми можемо ідентифікувати та класифікувати потенційні загрози, характерні для цього середовища, визначити вразливості, через які ці загрози можуть реалізуватись. Класифікація загроз за методом STRIDE дасть можливість змоделювати різноманітні вектори атак на конвеєр і допоможе розробити ефективні засоби контролю безпеки і контрзаходи.
Після ідентифікації загроз та вразливостей CI/CD конвеєра методом STRIDE, можна приступити до оцінки серйозності цих вразливостей за допомогою CVSS.
Маючи на руках перелік вразливостей і оцінок їх критичності, в подальшому можна буде визначити ступінь захищеності CI/CD конвеєра, вівдштовхуючись від наявності в ньому необхідних засобів протидії тим чи іншим загрозам.
Література:
1.Continuous Integration, Delivery, and Deployment. Reliable and faster software releases with automating builds, tests and deployment / Sander Rossel // Packt Publishing - 2017
2.An Abstract CI/CD Architecture / Ronnie Schaniel Blog - Режим доступу:
https://ronnieschaniel.com/architecture/an-abstract-ci-cd-architecture
3.Документація Microsoft Security Benchmark - Режим доступу:
https://learn.microsoft.com/en-us/security/benchmark/azure/mcsb-devops-security
Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License
Знайшли помилку? Виділіть помилковий текст мишкою і натисніть Ctrl + Enter
Інші наукові праці даної секції
-
РЕАЛІЗАЦІЯ ВЕБ-ПРОДУКТУ МЕДИЧНОГО СЕРВІСУ НА DJANGO: ДОСЯГНЕННЯ, ПЕРЕВАГИ ТА МОЖЛИВОСТІ ДЛЯ МАЙБУТНЬОГО РОЗШИРЕННЯ
31.05.2023 20:08 -
ПРОГРАМНА РЕАЛІЗАЦІЯ ДОСТУПУ ДО РОЗПОДІЛЕНОГО СХОВИЩА ДАНИХ
29.05.2023 15:55 -
ВИКОРИСТАННЯ ДІАГРАМИ ДІЯЛЬНОСТІ ДЛЯ МОДЕЛЮВАННЯ ТА АНАЛІЗУ ПРОЦЕСУ ПРИЙНЯТТЯ РІШЕНЬ
26.05.2023 17:17 -
ОСОБЛИВОСТІ ОРГАНІЗАЦІЇ ІНШОМОВНОЇ КОМУНІКАЦІЇ УЧНІВ СТАРШОЇ ШКОЛИ В ПАРАДИГМІ ОНЛАЙН-НАВЧАННЯ
25.05.2023 09:18 -
КОМП’ЮТЕРНА СИСТЕМА ВИЗНАЧЕННЯ ТРАЄКТОРІЙ ЦІЛЕЙ СТАЛОГО РОЗВИТКУ ХНУРЕ НА ОСНОВІ СТАТИСТИЧНИХ ДАНИХ
24.05.2023 23:10
Конференції
Конференції 2024
Конференції 2023
Конференції 2022
Конференції 2021
