Designing a security framework for enhanced monitoring and secure development during the software life cycle
Mustonen, Jesse (2024)
Diplomityö
2024
School of Engineering Science, Tietotekniikka
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe2024042923025
https://urn.fi/URN:NBN:fi-fe2024042923025
Tiivistelmä
The information technology industry constantly evolves, bringing new challenges related to secure software development. Organizations are faced with increasing regulations with which they must comply. The most common way to comply with security regulations is by adhering to industry-common security standards. However, following and monitoring the compliance of different security standards during development could be more convenient. So, having a sufficient way to monitor and guide the secure development processes is needed.
In this thesis, a unified security framework that combines OWASP ASVS requirements and CIS Control with the organization's software development lifecycle was designed. By utilizing the framework, organizations can monitor and manage the implementation of the proper secure development practices and configuration hardenings during each phase of the software lifecycle. The framework was created for Evitec Solutions and designed to be integrated into their internal SDLC in the future. A design science research and literature review were used to design and develop the framework. The framework was demonstrated and evaluated using semi-structured interviews with industry experts who analyzed the framework.
The findings show that integrating the security standards into SDLC offers multiple benefits for organizations, such as enhanced security requirement monitoring, streamlined sale processes, and a heightened understanding of secure software development practices. The standards used in the framework were deemed suitable for complying with the security requirements of the finance industry. No actual integration to the existing project was done, so analyzing the framework's usage could be researched further in an actual setting. Tietotekniikkateollisuus kehittyy jatkuvasti ja tuoden uusia haasteita turvalliseen ohjelmistokehitykseen. Organisaatiot kohtaavat yhä enemmän säännöksiä, joita niiden on noudatettava. Yleisin tapa noudattaa turvallisuusmääräyksiä on seurata alan yleisiä turvallisuusstandardeja, mutta niiden seuranta kehitystyön aikana on kuitenkin työlästä. Näin ollen tarvitaan riittävä tapa valvoa ja ohjata turvallisia kehitysprosesseja.
Tässä opinnäytetyössä suunniteltiin yhtenäinen tietoturvakehys, joka yhdistää OWASP ASVS -vaatimukset ja CIS Controlit organisaation ohjelmistokehityksen elinkaareen. Kehystä hyödyntämällä organisaatiot voivat valvoa ja hallita turvallisten kehityskäytäntöjen ja konfigurointien toteutumista ohjelmiston elinkaaren jokaisessa vaiheessa. Kehys luotiin Evitec Solutionsille ja se suunniteltiin integroitavaksi heidän sisäiseen ohjelmistokehityksensä elinkaareen tulevaisuudessa. Viitekehyksen suunnittelussa ja kehittämisessä käytettiin muotoilutieteen tutkimusta ja kirjallisuuskatsausta. Viitekehyksen demonstraatio ja analysointi toteutettiin alan asiantuntijoiden puolistrukturoituja haastattelujen avulla.
Tulokset osoittavat, että tietoturvastandardien integroiminen ohjelmistokehityksen elinkaareen tarjoaa organisaatioille monia etuja, kuten tehostetun tietoturvavaatimusten seurannan, virtaviivaistetummat myyntiprosessit ja henkilöstön tietoturva ymmärryksen kasvun. Viitekehyksessä käytettyjen standardien katsottiin soveltuvan täyttämään finanssialan turvallisuusvaatimukset. Varsinaista integrointia olemassa olevaan projektiin ei tehty, joten viitekehyksen käytön analysointia voitaisiin tutkia tarkemmin todellisessa ympäristössä tulevaisuudessa.
In this thesis, a unified security framework that combines OWASP ASVS requirements and CIS Control with the organization's software development lifecycle was designed. By utilizing the framework, organizations can monitor and manage the implementation of the proper secure development practices and configuration hardenings during each phase of the software lifecycle. The framework was created for Evitec Solutions and designed to be integrated into their internal SDLC in the future. A design science research and literature review were used to design and develop the framework. The framework was demonstrated and evaluated using semi-structured interviews with industry experts who analyzed the framework.
The findings show that integrating the security standards into SDLC offers multiple benefits for organizations, such as enhanced security requirement monitoring, streamlined sale processes, and a heightened understanding of secure software development practices. The standards used in the framework were deemed suitable for complying with the security requirements of the finance industry. No actual integration to the existing project was done, so analyzing the framework's usage could be researched further in an actual setting.
Tässä opinnäytetyössä suunniteltiin yhtenäinen tietoturvakehys, joka yhdistää OWASP ASVS -vaatimukset ja CIS Controlit organisaation ohjelmistokehityksen elinkaareen. Kehystä hyödyntämällä organisaatiot voivat valvoa ja hallita turvallisten kehityskäytäntöjen ja konfigurointien toteutumista ohjelmiston elinkaaren jokaisessa vaiheessa. Kehys luotiin Evitec Solutionsille ja se suunniteltiin integroitavaksi heidän sisäiseen ohjelmistokehityksensä elinkaareen tulevaisuudessa. Viitekehyksen suunnittelussa ja kehittämisessä käytettiin muotoilutieteen tutkimusta ja kirjallisuuskatsausta. Viitekehyksen demonstraatio ja analysointi toteutettiin alan asiantuntijoiden puolistrukturoituja haastattelujen avulla.
Tulokset osoittavat, että tietoturvastandardien integroiminen ohjelmistokehityksen elinkaareen tarjoaa organisaatioille monia etuja, kuten tehostetun tietoturvavaatimusten seurannan, virtaviivaistetummat myyntiprosessit ja henkilöstön tietoturva ymmärryksen kasvun. Viitekehyksessä käytettyjen standardien katsottiin soveltuvan täyttämään finanssialan turvallisuusvaatimukset. Varsinaista integrointia olemassa olevaan projektiin ei tehty, joten viitekehyksen käytön analysointia voitaisiin tutkia tarkemmin todellisessa ympäristössä tulevaisuudessa.