МЕТОДИКА ОЦІНЮВАННЯ ЗАХИЩЕНОСТІ CI/CD КОНВЕЄРІВ - Scientific conference

Congratulation from Internet Conference!

Hello

Рік заснування видання - 2011

МЕТОДИКА ОЦІНЮВАННЯ ЗАХИЩЕНОСТІ CI/CD КОНВЕЄРІВ

08.06.2023 23:35

[1. Information systems and technologies]

Author: Пашинський Максим Олександрович, студент, Національний технічний університет України «Київський Політехнічний Інститут імені Ігоря Сікорського», м. Київ


CI/CD (безперервна інтеграція / безперервна доставка) як підхід до розробки програмного забезпечення є досить об’ємною та багатогранною темою. Ключовими рисами цього підходу є автоматизація та безперервність більшості процесів [1].

Взявши до уваги CI/CD конвеєр, що уособлює процес розробки ПЗ з застосуванням CI/CD, описати його як незмінну систему з сталими компонентами і характеристиками неможливо. Це зумовлюється різноманітністю інструментів та технологій, середовищ розробки, вимог до проектів та постійною еволюцією і вдосконаленням. Ронні Шаніел в своєму блозі [2] найбільш влучно пояснює абстрактність архітектури CI/CD. За його словами, тримаючи в голові думку про абстрактність елементів конвеєра та зв’язків між ними, можна обговорювати архітектуру CI/CD незалежно від інструментів і деталей її реалізації.

В рамках дослідження було прийнято рішення побудувати модель структури CI/CD конвеєра для виявлення компонентів які можуть бути вразливими і подальшої ідентифікації загроз (рис. 1).





Що до безпеки CI/CD, через описане вище задача її забезпечення також є досить складною. Для досягнення цілей безпеки відносно DevOps та CI/CD середовищ, згідно з офіційною документацією Microsoft Security Benchmark [3] слід виявити потенційні вразливості і ризики (DS-1) та впровадити відповідні засоби контролю безпеки для зменшення цих ризиків (DS-2 - DS-7).

Для виявлення та класифікації загроз CI/CD середовищу можна скористатись методом STRIDE (Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege). Його використання забезпечує структурний підхід з застосуванням класифікації загроз за їх типами і шляхами реалізації.

Для оцінки критичності реалізації загроз підійде використання системи оцінки вразливостей Common Vulnerability Scoring System. CVSS створена для багатосторонньої оцінки вразливостей, тому в її основі лежать три оцінки:

●Base Score - якісна оцінка вразливості, незалежна від часу та оточення;

●Temporal Score - оцінка, що залежить від часу виявлення та усунення вразливості;

●Environmental Score - оцінка, що залежить від оточення і специфічних умов реалізації вразливості.

Для визначення кожної з трьох оцінок використовуються відповідні набори метрик:

●Base Metrics - Access Vector (AV), Access Complexity (AC), Authentication (Au), підклас метрик Impact Metrics, що визначають вплив вразливості на конфіденційність (C), Цілісність (I) та Доступність (A);

●Temporal Metrics - Exploitability (E), Remediation Level (RL), Report Confidence (RC);

●Environmental Metrics - Collateral Damage Potential (CDP), Target Distribution (TD) та Impact Score Modifier, що вносить корективи щодо впливу на конфіденційність, цілісність та доступність.

Було прийнято рішення застосувати описані вище методи роботи з загрозами та вразливостями на розробленій абстрактній моделі CI/CD конвеєра для виявлення потенційних загроз та оцінки серйозності наслідків при їх реалізації.

Застосувавши метод STRIDE на CI/CD конвеєрі, ми можемо ідентифікувати та класифікувати потенційні загрози, характерні для цього середовища, визначити вразливості, через які ці загрози можуть реалізуватись.  Класифікація загроз за методом STRIDE дасть можливість змоделювати різноманітні вектори атак на конвеєр і допоможе розробити ефективні засоби контролю безпеки і контрзаходи.

Після ідентифікації загроз та вразливостей CI/CD конвеєра методом STRIDE, можна приступити до оцінки серйозності цих вразливостей за допомогою CVSS. 

Маючи на руках перелік вразливостей і оцінок їх критичності, в подальшому можна буде визначити ступінь захищеності CI/CD конвеєра, вівдштовхуючись від наявності в ньому необхідних засобів протидії тим чи іншим загрозам.

Література:

1.Continuous Integration, Delivery, and Deployment. Reliable and faster software releases with automating builds, tests and deployment / Sander Rossel // Packt Publishing - 2017

2.An Abstract CI/CD Architecture / Ronnie Schaniel Blog - Режим доступу:

https://ronnieschaniel.com/architecture/an-abstract-ci-cd-architecture

3.Документація Microsoft Security Benchmark - Режим доступу:

https://learn.microsoft.com/en-us/security/benchmark/azure/mcsb-devops-security

Creative Commons Attribution Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License
допомога Знайшли помилку? Виділіть помилковий текст мишкою і натисніть Ctrl + Enter
Сonferences

Conference 2024

Conference 2023

Conference 2022

Conference 2021



Міжнародна інтернет-конференція з економіки, інформаційних систем і технологій, психології та педагогіки

Наукова спільнота - інтернет конференції

:: LEX-LINE :: Юридична лінія

Інформаційне суспільство: технологічні, економічні та технічні аспекти становлення