Improving Company X's DevSecOps practices: Kubernetes DevSecOps pipeline
Björklund, Tomi (2023)
Björklund, Tomi
2023
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2023052614704
https://urn.fi/URN:NBN:fi:amk-2023052614704
Tiivistelmä
DevSecOps-menetelmästä on tullut yhä yleisempi sovelluskehitystä tarjoavien organisaatioiden keskuudessa, koska tietoturvan tarve kasvaa teknologian kehittyessä. Tietoturvallisuuden merkitys CI/CD-putkessa
on välttämätöntä, ja sen prosesseja voidaan lähes aina parantaa, mikä takaa tietoturvallisemman sekä toimivamman sovelluskehityksen.
Opinnäytetyössä tavoitteena oli arvioida Yritys X:n yhtä DevSecOps-putkea ja ehdottaa arvioinnin tuloksien
perusteella keinoja putken prosessien parantamiseksi. Tavoitteena oli myös perehtyä DevSecOps-putkissa
käytettyihin prosesseihin ja teknologioihin ja valitun Yritys X:n DevSecOps-putken ominaisuuksiin. Arvioinnissa käsiteltiin putken prosesseja, kuten sovelluksen rakentamista, käyttöönottoa, alustainfrastruktuuria,
sovelluksen ja infrastruktuurin tietoturvatestausta sekä kokonaisvaltaista korjaustenhallintaa.
Toteutukseen sisältyi DevSecOps-putken alustatiimin jäsenille tehty kysely, jonka avulla kerättiin tietoa valitun DevSecOps-putken prosesseista. Putken arviointi suoritettiin OWASP DSOMM -työkalun avulla, jonka
tasovaatimukset toimivat pohjatietona kyselyn kysymyksille. Kyselyn tulokset arvioitiin OWASP DSOMM:n
kypsyystasojen määritelmien avulla.
Tulokset ja johtopäätökset sisältävät visualisoinnin arvioinnin tuloksesta, joka osoitti kypsyystasot kaikille
putken vaiheille. Putken osat, joilla oli heikoin kypsyystaso, listattiin niistä koituvien turvallisuushaavoittuvuuksien ja riskien kanssa, joita ne voisivat aiheuttaa nykyisessä tilassaan. The DevSecOps methodology is becoming increasingly used among organizations as cyber security is gaining a more significance in priority as technology evolves. The importance of security in a CI/CD pipeline is a
necessity, and some of the processes can almost always be improved to guarantee a more secure and functional application development life cycle.
The objective of the research-based development thesis was to evaluate one of Company X's DevSecOps
pipelines and to suggest ways to improve the selected pipeline process based on the evaluation results. The
aim was also to familiarize with the processes and technologies used in DevSecOps pipelines and thus to
learn about the selected company’s DevSecOps pipeline. The evaluation contained pipeline processes from
phases such as application build, deployment, platform infrastructure, security testing of the application
and infrastructure, and overall patch management.
The implementation method included conducting a survery for the members of the selected pipeline platform team for gathering information regarding the pipeline processes. The evaluation was conducted with
the help of the OWASP DSOMM tool with the requirements mentioned in the tool acting as base information for the survey questions. The survey results were evaluated with the help of the maturity level defi nitions of OWASP DSOMM.
The results and conclusions included a visualization of the evaluated DevSecOps pipeline which indicated
the maturity levels for all the phases included in the pipeline. The parts of the pipeline with the weakest
maturity levels were listed as possible epics along with the security vulnerabilities and risks they could induce at their current state.
on välttämätöntä, ja sen prosesseja voidaan lähes aina parantaa, mikä takaa tietoturvallisemman sekä toimivamman sovelluskehityksen.
Opinnäytetyössä tavoitteena oli arvioida Yritys X:n yhtä DevSecOps-putkea ja ehdottaa arvioinnin tuloksien
perusteella keinoja putken prosessien parantamiseksi. Tavoitteena oli myös perehtyä DevSecOps-putkissa
käytettyihin prosesseihin ja teknologioihin ja valitun Yritys X:n DevSecOps-putken ominaisuuksiin. Arvioinnissa käsiteltiin putken prosesseja, kuten sovelluksen rakentamista, käyttöönottoa, alustainfrastruktuuria,
sovelluksen ja infrastruktuurin tietoturvatestausta sekä kokonaisvaltaista korjaustenhallintaa.
Toteutukseen sisältyi DevSecOps-putken alustatiimin jäsenille tehty kysely, jonka avulla kerättiin tietoa valitun DevSecOps-putken prosesseista. Putken arviointi suoritettiin OWASP DSOMM -työkalun avulla, jonka
tasovaatimukset toimivat pohjatietona kyselyn kysymyksille. Kyselyn tulokset arvioitiin OWASP DSOMM:n
kypsyystasojen määritelmien avulla.
Tulokset ja johtopäätökset sisältävät visualisoinnin arvioinnin tuloksesta, joka osoitti kypsyystasot kaikille
putken vaiheille. Putken osat, joilla oli heikoin kypsyystaso, listattiin niistä koituvien turvallisuushaavoittuvuuksien ja riskien kanssa, joita ne voisivat aiheuttaa nykyisessä tilassaan.
necessity, and some of the processes can almost always be improved to guarantee a more secure and functional application development life cycle.
The objective of the research-based development thesis was to evaluate one of Company X's DevSecOps
pipelines and to suggest ways to improve the selected pipeline process based on the evaluation results. The
aim was also to familiarize with the processes and technologies used in DevSecOps pipelines and thus to
learn about the selected company’s DevSecOps pipeline. The evaluation contained pipeline processes from
phases such as application build, deployment, platform infrastructure, security testing of the application
and infrastructure, and overall patch management.
The implementation method included conducting a survery for the members of the selected pipeline platform team for gathering information regarding the pipeline processes. The evaluation was conducted with
the help of the OWASP DSOMM tool with the requirements mentioned in the tool acting as base information for the survey questions. The survey results were evaluated with the help of the maturity level defi nitions of OWASP DSOMM.
The results and conclusions included a visualization of the evaluated DevSecOps pipeline which indicated
the maturity levels for all the phases included in the pipeline. The parts of the pipeline with the weakest
maturity levels were listed as possible epics along with the security vulnerabilities and risks they could induce at their current state.