СРАВНИТЕЛЬНОЕ ИССЛЕДОВАНИЕ ИНСТРУМЕНТОВ СТАТИЧЕСКОГО АНАЛИЗА КОДА В CI/CD-ПАЙПЛАЙНОВ
Аннотация и ключевые слова
Аннотация (русский):
В сфере современной разработки программного обеспечения конвейеры непрерывной интеграции и непрерывного развертывания (CI/CD) служат неотъемлемыми механизмами для поддержания качества, безопасности и эффективности кода. Инструменты статического анализа кода играют ключевую роль в этих конвейерах, автоматизируя обнаружение потенциальных уязвимостей и обеспечивая соблюдение стандартов кодирования. В этом сравнительном исследовании оцениваются и сравниваются ведущие инструменты статического анализа кода, используемые в конвейерах CI/CD, с упором на их возможности с точки зрения политик по умолчанию и настраиваемых политик, интеграции со средами разработки, форматов вывода и возможностей настройки. Анализируя и сравнивая такие инструменты, как KICS, tfsec, Trivy, Terrascan, Checkov и Semgrep OSS, это исследование направлено на то, чтобы дать представление об их сильных и слабых сторонах, помогая практикам принимать обоснованные решения для повышения качества и безопасности программного обеспечения на протяжении всего жизненного цикла разработки. Это исследование подчеркивает важность выбора подходящих инструментов на основе требований конкретного проекта, подчеркивая, что упреждающие меры безопасности в рабочих процессах CI/CD значительно повышают безопасность инфраструктуры и соответствие требованиям.

Ключевые слова:
DevSecOps, конвейеры CI/CD, инфраструктура как код, статический анализ кода, сканирование безопасности, инструменты с открытым исходным кодом, обнаружение уязвимостей, SAST, безопасность конвейеров
Список литературы

1. Джасфер Кэтрин Г. СРАВНИТЕЛЬНЫЙ АНАЛИЗ СРЕДСТВ ПЕРЕЧИСЛЕНИЯ ПОДОБЛАСТЕЙ И СТАТИЧЕСКОГО АНАЛИЗА КОДА // ЖУРНАЛ МЕХАНИКИ СРЕЗНЫХ СРЕД И МАТЕМАТИЧЕСКИХ НАУК. 2020. Том. 15, № 6.

2. KICS – Обеспечение безопасности инфраструктуры как кода [Электронный ресурс].

3. KICS — Инфраструктура с открытым исходным кодом как код | Checkmarx [Электронный ресурс]. URL: https://checkmarx.com/product/opensource/kics-open-source-infrastructure-as-code-project/ (дата обращения: 26.06.2024).

4. Аква Безопасность. Сканер безопасности статического анализа вашего кода Terraform [Электронный ресурс] // https://aquasecurity.github.io/tfsec/v1.28.1/.

5. Эмануэльссон П., Нильссон У. Сравнительное исследование инструментов промышленного статического анализа // Электронные заметки Theor Comput Sci. 2008. Том. 217. С. 5–21.

6. Зампетти Ф. и др. Как проекты с открытым исходным кодом используют инструменты статического анализа кода в конвейерах непрерывной интеграции // 14-я Международная конференция IEEE/ACM по репозиториям программного обеспечения для майнинга (MSR), 2017 г. IEEE, 2017. С. 334–344.

7. Фатима А., Биби С., Ханиф Р. Сравнительное исследование инструментов статического анализа кода для C/C++ // 15-я Международная Бхурбанская конференция по прикладным наукам и технологиям (IBCAST), 2018 г. IEEE, 2018. С. 465–469.

8. Новак Ю., Крайнц А., Жонтар Р. Таксономия инструментов статического анализа кода // 33-я Международная конвенция MIPRO. 2010. С. 418–422.

9. Каур А., Найяр Р. Сравнительное исследование инструментов статического анализа кода для обнаружения уязвимостей в исходном коде C/C++ и JAVA // Procedia Comput Sci. 2020. Том. 171. С. 2023–2029.

Войти или Создать
* Забыли пароль?