| Abstract |
Atslēgvārdi: tīmekļa lietojumprogrammu drošība, automatizēta drošības testēšana, DAST, SAST, CI/CD, DevSecOps, ievainojamību skenēšana.
Mūsdienu tīmekļa lietojumprogrammu sistēmu pieaugošā sarežģītība, ko veicina mākoņdatošanas arhitektūras, trešo pušu pakalpojumu integrācijas un nepārtrauktas izvietošanas konveijeri, ir paplašinājusi uzbrukuma virsmu, ļaujot tādiem apdraudējumiem kā SQL injekcija, starpvietņu skriptēšana (XSS) un autentifikācijas apiešana joprojām pastāvēt. Tādēļ automatizētie drošības testēšanas rīki ir būtiska sastāvdaļa droša programmatūras produkta izstrādē DevSecOps un CI/CD vidēs.
Tomēr automatizēto drošības testēšanas rīku efektivitāte ievērojami atšķiras dažādos novērtēšanas kontekstos. Tas ietver neprecizitātes, kļūdaini pozitīvus rezultātus un integrācijas iespējas. Lielākā daļa iepriekšējo pētījumu arī neveica reprezentatīvu salīdzinošu analīzi kontrolētos apstākļos, kas apgrūtina piemērota rīka izvēli.
Šī darba mērķis ir veikt izvēlēto tīmekļa lietojumprogrammu drošības testēšanas rīku salīdzinošu analīzi, pārstāvot SAST, DAST un uz veidnēm balstītas ievainojamību skenēšanas pieejas. Analīzē tiek izmantotas OWASP Juice Shop, DVWA un WebGoat kā apzināti ievainojamas tīmekļa lietojumprogrammas. SonarQube, OWASP ZAP un Nuclei tiek novērtēti pēc atklāšanas precizitātes, kļūdaini pozitīviem rezultātiem, skenēšanas ilguma, resursu izmantošanas, ziņojumu lietojamības un piemērotības CI/CD videi.
Datu analīzē tika konstatēts, ka rīku veiktspēja būtiski atšķiras, kas parāda, ka rīka izvēlei jābūt atkarīgai no testēšanas mērķa, mērķa lietojumprogrammas un CI/CD prasībām.
Informācija par darba apjomu: 96 lappuses, 12 tabulas, 35 attēli, 8 pielikumi un 32 literatūras avoti. |