Web application security testing as part of continuous integration in .NET projects
Immonen, Joona (2015)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2015121621094
https://urn.fi/URN:NBN:fi:amk-2015121621094
Tiivistelmä
Tutkimuksen tarkoitus oli tutkia erilaisten tietoturvakontrollien toteuttamista Continuous Integration -ympäristössä .NET-projekteissa. Tutkimuksen kohteena oli kaksi esimerkkiprojektia, joille tehtiin tietoturvatilannekartoitus. Tilannekartoitus tehtiin myös markkinoilla oleville tietoturvatuotteille.
Tämän jälkeen tutkittiin teknisiä tietoturvakontrolleja, joita projektit voisivat mahdollisesti ottaa käyttöön. Tutkittuja tietoturvakontrolleja verrattiin erilaisiin uhkamalleihin ja ne sijoitettiin tietoturvallisen sovelluskehityksen elämänkaaressa sopivaan vaiheeseen ja lopuksi arvioitiin esimerkkiprojekteilla niiden hyödyllisyys projektin kannalta.
Tutkimuksen tuloksena saatiin arvio eri tietoturvakontrollien hyödyllisyydestä ja osatuloksena ohjeistus kuinka ne voidaan ottaa käyttöön Jenkins Continuous Integration -ympäristössä. Koulutus tunnistettiin tärkeäksi osaksi sekä tietoturvauhkien tunnistamisessa että tietoturvauhkilta suojautumisessa. Projektiryhmien mielestä tärkeimmät työkalut olivat suorituskykytestauksen mittaamiseen ja lähdekoodin analysointiin käytettävät työkalut. Tutkimuksessa tuli selkeästi esille, miten eri työkalut tarkastelevat täysin eri osia sovelluksen ajoympäristöstä ja siten myös mitätöivät täysin erilaisia uhkia tehokkaasti. Lopputuloksissa erilaisten tietoturvatuotteiden rinnakkaiskäytön hyödyllisyys näkyi siten, että yhtäkään tuotetta ei koettu tarpeettomaksi.
Tämän jälkeen tutkittiin teknisiä tietoturvakontrolleja, joita projektit voisivat mahdollisesti ottaa käyttöön. Tutkittuja tietoturvakontrolleja verrattiin erilaisiin uhkamalleihin ja ne sijoitettiin tietoturvallisen sovelluskehityksen elämänkaaressa sopivaan vaiheeseen ja lopuksi arvioitiin esimerkkiprojekteilla niiden hyödyllisyys projektin kannalta.
Tutkimuksen tuloksena saatiin arvio eri tietoturvakontrollien hyödyllisyydestä ja osatuloksena ohjeistus kuinka ne voidaan ottaa käyttöön Jenkins Continuous Integration -ympäristössä. Koulutus tunnistettiin tärkeäksi osaksi sekä tietoturvauhkien tunnistamisessa että tietoturvauhkilta suojautumisessa. Projektiryhmien mielestä tärkeimmät työkalut olivat suorituskykytestauksen mittaamiseen ja lähdekoodin analysointiin käytettävät työkalut. Tutkimuksessa tuli selkeästi esille, miten eri työkalut tarkastelevat täysin eri osia sovelluksen ajoympäristöstä ja siten myös mitätöivät täysin erilaisia uhkia tehokkaasti. Lopputuloksissa erilaisten tietoturvatuotteiden rinnakkaiskäytön hyödyllisyys näkyi siten, että yhtäkään tuotetta ei koettu tarpeettomaksi.