Security testing in continuous integration processes

dc.contributorAalto-yliopistofi
dc.contributorAalto Universityen
dc.contributor.advisorVähä-Sipilä, Antti
dc.contributor.authorKuusela, Juha
dc.contributor.schoolPerustieteiden korkeakoulufi
dc.contributor.supervisorAura, Tuomas
dc.date.accessioned2017-07-04T06:29:59Z
dc.date.available2017-07-04T06:29:59Z
dc.date.issued2017-06-12
dc.description.abstractModern software development processes in which changes can be deployed to production multiple times a day present a challenge from the software security point of view. In this work we explore the possibility of using existing software security testing methods and tools in continuous integration to achieve a basic level of continuous security testing. We review existing software security testing methods and tools to determine their applicability to continuous security testing. In four case studies we made selected security testing tools a part of real life software development projects' continuous integration systems and development processes. We found that continuous security testing is feasible using current security testing methods and tools. Multiple different, complementary approaches to implementing it are available depending on the level of expendable effort and security expertise at hand. Dependency verification is in most cases the best starting point for implementing continuous security testing. Good dependency verification tools, which require minimal effort and security testing expertise from the user, are available for most major programming languages.en
dc.description.abstractModernit ohjelmistokehitysprosessit, joissa muutoksia voidaan viedä tuotantoon useita kertoja päivässä, ovat haastavia kehitetyn ohjelmiston tietoturvan varmistamisen kannalta. Tässä työssä tutkimme, miten olemassa olevia tietoturvatestausmetodeja ja -työkaluja voitaisiin käyttää jatkuvan integraation järjestelmissä perustason jatkuvan tietoturvatestauksen saavuttamiseksi. Käymme läpi olemassa olevia tietoturvatestausmetodeja ja -työkaluja määrittääksemme niiden soveltuvuuden jatkuvaan tietoturvatestaukseen. Testaamme myös valikoitujen tietoturvatestaustyökalujen lisäämistä neljän ohjelmistokehitysprojektin jatkuvan integraation järjestelmiin ja ohjelmistokehitysprosesseihin. Havaitsemme, että joidenkin osa-alueiden jatkuva tietoturvatestaus on mahdollista olemassa olevien tietoturvatestausmenetelmien ja -työkalujen avulla. Tarjolla on monta erilaista, toisiaan täydentävää lähestymistapaa, joista kukin vaatii eri määrän työpanosta ja tietoturvaosaamista. Havaintojemme perusteella useimmissa tapauksissa paras tapa aloittaa jatkuva tietoturvatestaaminen on kehitettävän ohjelmiston riippuvuuksien verifiointi. Siihen tarkoitettujen tietoturvatestaustyökalujen saatavuus eri ohjelmointikielille on hyvä, ja niiden käyttöönotto vaatii hyvin vähän työpanosta ja tietoturvaosaamista.fi
dc.ethesisidAalto 9508
dc.format.extent78 + 9
dc.format.mimetypeapplication/pdfen
dc.identifier.urihttps://aaltodoc.aalto.fi/handle/123456789/27065
dc.identifier.urnURN:NBN:fi:aalto-201707045962
dc.language.isoenen
dc.locationP1
dc.programmeMaster’s Programme in Computer, Communication and Information Sciencesfi
dc.programme.majorTietoliikenneohjelmistotfi
dc.programme.mcodeT3005fi
dc.subject.keywordsecurityen
dc.subject.keywordtestingen
dc.subject.keywordcontinuousen
dc.subject.keywordintegrationen
dc.titleSecurity testing in continuous integration processesen
dc.titleTietoturvatestaaminen jatkuvan integraation prosesseissafi
dc.typeG2 Pro gradu, diplomityöfi
dc.type.ontasotMaster's thesisen
dc.type.ontasotDiplomityöfi
Files
Original bundle
Now showing 1 - 1 of 1
No Thumbnail Available
Name:
master_Kuusela_Juha_2017.pdf
Size:
647.85 KB
Format:
Adobe Portable Document Format