Jatkuvaan integraatioon lisätty tietoturva

Abstract

Insinöörityön tavoitteena oli tutkia jatkuvaan integraatioon liittyviä tietoturvahaavoittuvuuksia, ja paikata nämä haavoittuvuudet, jotta web-ohjelmistokehitys olisi turvallisempaa. Automatisoitu jatkuva integraatio on sellaisenaan altis tietoturvauhille, jotka ovat lähtöisin hyökkäyksistä tai inhimillisistä virheistä.

Insinöörityö kirjoitettiin Eficode Oy:lle. Eficode on ohjelmistoalan yritys, joka työllistää 250 asiantuntijaa neljässä maassa. Työharjoittelussa kehitettiin web-ohjelmistoa ja sen kehitystä tukevaa automatisoitua jatkuvaa integraatioprosessia.

Työssä selitetään käsite jatkuva integraatio ja esitetään, mitä ongelmia tämän kehitysmenetelmän käyttöönotto voi ratkaista. Jatkuvassa integraatiossa käytetyt ohjelmistot ja menetelmät esitellään. Näitä ovat muun muassa versionhallinnan, virtualisoinnin ja testiautomaation käyttö. Työssä tutkitaan näihin työkaluihin liittyviä tietoturvauhkia ja käytännön mene-telmiä uhkien minimoimiseen.

Projektin jatkuvan integraatioprosessin mahdollisti Jenkins-automaatiopalvelin. Sen automaatioskriptieihin pohjautuvaa toimintaa avataan, ja automaatioskriptissä tehtävät koonti-, turvatarkastus-, testaus- ja julkaisuvaiheet käydään läpi. Työssä esitettyä automaatioskriptiä käytettiin webohjelmiston kehityksessä ja sen toimintavaiheet käsitellään.

Insinöörityön loppuosassa demonstroidaan tutkittujen menetelmien ja toiminnallisuuksien käyttöönottoa, joilla paikataan tietoturvahaavoittuvuuksia. Työn tuloksena web-ohjelmiston jatkuva integraatioprosessi on turvallisempi, ja projektin jäseninä olleet ohjelmistokehittäjät osaavat käyttää työkalujen tukemia toiminnallisuuksia, joiden avulla koodin kirjoittaminen on turvallista. Työssä kuvaillut menetelmät ja parannukset otettiin käyttöön projektissa, jonka aikana insinöörityö kirjoitettiin.

The purpose of this thesis was to investigate common security vulnerabilities that are associated with continuous integration, and to secure a web application’s continuous integration pipeline. An unsecured automated continuous integration pipeline is vulnerable to malicious attacks and security leaks as a result of human error.

The thesis was written for Eficode Oy. Eficode is a software engineering company, and it employs 250 experts in 4 countries. The continuous integration pipeline was developed for a web application.

This thesis introduces the concept of continuous integration and the benefits of its implementation. The common technologies and pieces of software that are used in a continuous integration pipeline are also introduced. This includes the use of version control software, containerization technologies, web application plugins and test automation. The common vulnerabilities that come with using these technologies are explained, along with the practical solutions to these problems.

The key piece of software that is used to enable continuous integration in this thesis is the automation server Jenkins. The server, and the scripting language it uses to automate the build, security auditing, testing and deployment phases, are explained. The specific unsecured script that was used in the software development project I was part in is reviewed.

The thesis follows up the vulnerability investigation with the technical implementation of features and practices that aim to minimize security risks. These features and practices are now a part of the web application project that was worked on. As a result of the hardening of the continuous integration pipeline, the web application’s development process is now more resilient to common security hazards. The project’s developers now know what measures they must take to keep the automated processes secure.