с 01.01.2023 по 01.01.2024
Санкт-Петербург, г. Санкт-Петербург и Ленинградская область, Россия
В сфере современной разработки программного обеспечения конвейеры непрерывной интеграции и непрерывного развертывания (CI/CD) служат неотъемлемыми механизмами для поддержания качества, безопасности и эффективности кода. Инструменты статического анализа кода играют ключевую роль в этих конвейерах, автоматизируя обнаружение потенциальных уязвимостей и обеспечивая соблюдение стандартов кодирования. В этом сравнительном исследовании оцениваются и сравниваются ведущие инструменты статического анализа кода, используемые в конвейерах CI/CD, с упором на их возможности с точки зрения политик по умолчанию и настраиваемых политик, интеграции со средами разработки, форматов вывода и возможностей настройки. Анализируя и сравнивая такие инструменты, как KICS, tfsec, Trivy, Terrascan, Checkov и Semgrep OSS, это исследование направлено на то, чтобы дать представление об их сильных и слабых сторонах, помогая практикам принимать обоснованные решения для повышения качества и безопасности программного обеспечения на протяжении всего жизненного цикла разработки. Это исследование подчеркивает важность выбора подходящих инструментов на основе требований конкретного проекта, подчеркивая, что упреждающие меры безопасности в рабочих процессах CI/CD значительно повышают безопасность инфраструктуры и соответствие требованиям.
DevSecOps, конвейеры CI/CD, инфраструктура как код, статический анализ кода, сканирование безопасности, инструменты с открытым исходным кодом, обнаружение уязвимостей, SAST, безопасность конвейеров
1. Джасфер Кэтрин Г. СРАВНИТЕЛЬНЫЙ АНАЛИЗ СРЕДСТВ ПЕРЕЧИСЛЕНИЯ ПОДОБЛАСТЕЙ И СТАТИЧЕСКОГО АНАЛИЗА КОДА // ЖУРНАЛ МЕХАНИКИ СРЕЗНЫХ СРЕД И МАТЕМАТИЧЕСКИХ НАУК. 2020. Том. 15, № 6.
2. KICS – Обеспечение безопасности инфраструктуры как кода [Электронный ресурс].
3. KICS — Инфраструктура с открытым исходным кодом как код | Checkmarx [Электронный ресурс]. URL: https://checkmarx.com/product/opensource/kics-open-source-infrastructure-as-code-project/ (дата обращения: 26.06.2024).
4. Аква Безопасность. Сканер безопасности статического анализа вашего кода Terraform [Электронный ресурс] // https://aquasecurity.github.io/tfsec/v1.28.1/.
5. Эмануэльссон П., Нильссон У. Сравнительное исследование инструментов промышленного статического анализа // Электронные заметки Theor Comput Sci. 2008. Том. 217. С. 5–21.
6. Зампетти Ф. и др. Как проекты с открытым исходным кодом используют инструменты статического анализа кода в конвейерах непрерывной интеграции // 14-я Международная конференция IEEE/ACM по репозиториям программного обеспечения для майнинга (MSR), 2017 г. IEEE, 2017. С. 334–344.
7. Фатима А., Биби С., Ханиф Р. Сравнительное исследование инструментов статического анализа кода для C/C++ // 15-я Международная Бхурбанская конференция по прикладным наукам и технологиям (IBCAST), 2018 г. IEEE, 2018. С. 465–469.
8. Новак Ю., Крайнц А., Жонтар Р. Таксономия инструментов статического анализа кода // 33-я Международная конвенция MIPRO. 2010. С. 418–422.
9. Каур А., Найяр Р. Сравнительное исследование инструментов статического анализа кода для обнаружения уязвимостей в исходном коде C/C++ и JAVA // Procedia Comput Sci. 2020. Том. 171. С. 2023–2029.