Implementation av automatiseradesäkerhetstester i Jenkins pipelines

Implementation av automatiseradesäkerhetstester i Jenkins pipelines

Show other versions (1)

Sammanfattning Utvecklandet och driftsättande av mjukvara har gått från att vara en processsom kunde ta flera år till att vara så kort som några timmar. Anledningen tilldetta är metodiken DevOps som tagit fart med automatiseringsverktyg somJenkins. DevOps är ett samspel mellan utveckling och drift i...

Full description

Bibliographic Details
Main Author: Rykowski Zeerak, Sebastian
Format: Others
Language:Swedish
Published: KTH, Hälsoinformatik och logistik 2020
Subjects:
Engineering and Technology
Teknik och teknologier
Online Access:http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-282914
Description
Summary:Sammanfattning Utvecklandet och driftsättande av mjukvara har gått från att vara en processsom kunde ta flera år till att vara så kort som några timmar. Anledningen tilldetta är metodiken DevOps som tagit fart med automatiseringsverktyg somJenkins. DevOps är ett samspel mellan utveckling och drift inom mjukvaradär automation har en viktig roll. Säkerheten har inte varit prioriterad meddessa korta ledtider och om det finns hos företag så körs dessa oftast manuelltoch med ett par månaders mellanrum. Kan säkerhetstester automatiseras ochge en hög lägstanivå för applikationssäkerhet även inom DevOps?För att svara på den frågan har olika typer av applikations säkerhetstesterkörts mot mätverktyg för att kontrollera effektivitet. En mjukvaruprototyp harutvecklats för att utvärdera andra faktorer som automatisering ochutvecklarverktyg. Slutsatsen är att det finns bra möjligheter förautomatiserade säkerhetstester men svaret på vad som passar bäst beror påvilken typ av applikation det gäller och vilken organisation det gäller. Nyckelord Säkerhetstest, SAST, DAST, IAST, SCA, DevSecOps, CI/CD, OWASP === AbstractDevelopment and deployment of software has transitioned from being aprocess that could take years to being as short as a few hours. The reason forthis is the DevOps methodology gaining momentum in the industry and theuse of automation tools such as Jenkins. DevOps is a collaborative effortbetween development and operation of software where automation has animportant role. Security has not had a high priority due to short developmentcycles and if security testing is done within organizations, it’s usually donemanually a few months apart. Could security tests be automated and give ahigh enough bar for application security within DevOps? To answer thisquestion different types of application security testing has been done toward abenchmarking tool to test for efficiency. A software prototype has beendeveloped to measure other factors such as automation and developmenttools. The conclusion is that there are good possibilities for automated securitytests but the answer to what is best depends on the type of application to testand what organization is in question.KeywordsApplication Security Testing, SAST, DAST, IAST, SCA, DevSecOps, CI/CD, OWASP

Similar Items