Інтеграція засобів аналізу вихідного коду у інноваційній методології DevSecOps

Abstract

У статті розглянуто актуальність інтеграції засобів аналізу вихідного коду, зокрема статичного (SAST) та динамічного (DAST), у сучасні процеси безпечної розробки програмного забезпечення на основі інноваційної методології DevSecOps. Виконано огляд наукових підходів та сучасних практик інтеграції інструментів безпеки в CI/CD-конвеєри, проаналізовано переваги та обмеження SAST і DAST, а також окреслено тенденції розвитку комбінованих методів безпеки. У статті побудовано узагальнену модель інтеграції цих інструментів у DevSecOps-середовище, наведено результати експериментальних досліджень щодо ефективності застосування SAST та DAST окремо та у поєднанні. Сформульовано практичні рекомендації з оптимізації вибору інструментів і підвищення рівня безпеки програмного забезпечення з урахуванням продуктивності CI/CD-процесів. The article examines the relevance of integrating source code analysis tools, specifically Static Application Security Testing (SAST) and Dynamic Application Security Testing (DAST), into modern secure software development processes based on the innovative DevSecOps methodology. A review of scientific approaches and current practices for integrating security tools into CI/CD pipelines is provided, analyzing the advantages and limitations of SAST and DAST, as well as outlining trends in the development of combined security methods. The article presents a generalized model for integrating these tools into a DevSecOps environment and experimental research results on the effectiveness of using SAST and DAST individually and in combination. Practical recommendations are formulated for optimizing the selection of tools and improving software security while maintaining the performance of CI/CD processes.