Analysis and Minimization of the Risks of Harmful Dependencies in the Process Of Continuous Integration and Implementation of Software Code

Cover Page

Cite item

Full Text

Abstract

Continuous integration and continuous deployment (CI/CD) processes have become essential elements of modern software development, enabling automation and optimization of work processes. However, these processes come with risks associated with vulnerabilities in the dependency chain, which can lead to serious consequences such as unauthorized access and data leakage. The article discusses the need to implement reliable mechanisms for detecting and mitigating dependency risks to improve the reliability of CI/CD.

The main risk in CI/CD processes is the exploitation of malicious dependencies used during the software build and deployment process. The main types of attacks include dependency confusion, dependency hijacking, and typo cybersquatting. To prevent these threats, various protection methods are proposed, such as controlling access to private packages, using automated tools for monitoring and checking dependencies, and implementing machine learning systems to detect suspicious packages. These measures are aimed at ensuring the integrity and security of software products, minimizing the risks associated with dependencies in CI/CD.

Purpose. Analyze dependency chain attacks and identify effective risk management methods to ensure high security of continuous integration and deployment processes to improve software development practices by identifying and eliminating potential vulnerabilities and stability issues, which provides safer and more reliable software delivery pipelines, reducing the likelihood of failures and disruptions in production environments.

Methodology.  This work includes the results of both international and local scientific research. To identify the relationships and obtain original conclusions, the author uses theoretical research methods, paying special attention to the search and analysis of information. The authors apply theoretical research methods related to the search and analysis of information to identify connections and obtain unique conclusions.

Results. The analysis of the risks of malicious dependencies in the process of continuous integration and implementation of the program code is carried out. Methods have been identified to minimize the risks of dependency abuse, the need to implement multi-level security measures, including automated monitoring and analysis tools, strict access control to repositories and the use of cryptographic methods to verify the integrity of packages. In addition, regular audits and employee training help maintain a high level of security and awareness of potential threats.

Practical implications It is advisable to apply the results obtained in the field of DevOps development in order to optimize the application development and release process by eliminating a known bottleneck: minimizing the risks of malicious dependencies in the process of continuous integration.

About the authors

Danil N. Alekseev

Kazan State Power Engineering University

Author for correspondence.
Email: danil.core7@gmail.com

Student of the Department of Information Technologies and Intelligent Systems

Russian Federation, 51, Krasnoselskaya Str., Kazan, 420066, Russian Federation

Renat M. Khamitov

Kazan State Power Engineering University

Email: hamitov@gmail.com
ORCID iD: 0000-0002-9949-4404
SPIN-code: 7401-9166
Scopus Author ID: 57222149321
ResearcherId: ADQ-3954-2022

Associate Professor «Information Technologies and Intelligent Systems», Candidate of Technical Sciences

Russian Federation, 51, Krasnoselskaya Str., Kazan, 420066, Russian Federation

References

  1. Budzko V. I. Development of high availability systems using “big data” technology. High Availability Systems, 2013, vol. 9, no. 4, pp. 003-011.
  2. Khamitov R. M. Digitalization of education and its aspects. Modern problems of science and education, 2021, no. 3, p. 8. https://doi.org/10.17513/spno.30771
  3. Data Attack Surface Report Steve Morgan, Editor-in-Chief Northport, N.Y. June 8, 2020. URL: https://cybersecurityventures.com/wp-content/uploads/2020/12/ArcserveDataReport2020.pdf (accessed 19.05.2024).
  4. Introducing Package Source Mapping. URL: https://devblogs.microsoft.com/nuget/introducing-package-source-mapping/ (accessed 20.05.2023).
  5. Software composition analysis. URL: https://en.wikipedia.org/wiki/Software_composition_analysis (accessed 20.05.2023).
  6. Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies. URL: https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610 (accessed 20.05.2024).
  7. Mend Research Snapshot: Malicious Packages. URL: https://www.mend.io/malicious-package-research/ (accessed 21.05.2023).
  8. Learning Data Visualization in Assessing Linguistic Competence in the International Baccalaureate / O. M. Shevchenko, Yu. V. Torkunova, A. E. Upshinskaya, T. V. Shorina. European Proceedings of Social and Behavioral Sciences: Conference proceedings, Moscow, April 23-25, 2020. London: European Publisher, 2020, pp. 1155-1164. https://doi.org/10.15405/epsbs.2020.11.03.122
  9. The OWASP Foundation - OWASP Top 10 CI/CD Security Risks. URL: https://owasp.org/www-project-top-10-ci-cd-security-risks/ (accessed 16.05.2024).
  10. Davis D. Effective DevOps: the art of IT management / D. Davis, K. Daniels. SPb : O'Reilly Media, 2016, 118 p.
  11. Sharma S. The DevOps Adoption Playbook: A Guide to Adopting DevOps in a Multi-Speed IT Enterprise. Wiley, 2017, 416 p.
  12. Wilson G. DevSecOps: A leader's guide to producing secure software without compromising flow, feedback and continuous improvement. London: Rethink Press, 2020, 278 p.
  13. Calvin S. P. Jenkins administrator's guide: Install, Manage and Scale a Ci/Cd Build and Re-lease System to Accelerate Your Product Lifecycle / S. P. Calvin, J. Humble, P. Debois. Boston, UK: IT Revolution Press, 2021, 436 p.
  14. Development security in Agile projects / L. Bell, M. Brunton-Spoll, R. Smith, D. Baird. Moscow: DMK Press, 2018, 448 p.
  15. Joseph D. Microsoft Windows Server / D. Joseph, L. Davis. Washington, DC: Ecom, 2018, 303 p.

Supplementary files

Supplementary Files
Action
1. JATS XML
Download

Copyright (c) 2024 Alekseev D.N., Khamitov R.M.

Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

Согласие на обработку персональных данных с помощью сервиса «Яндекс.Метрика»

1. Я (далее – «Пользователь» или «Субъект персональных данных»), осуществляя использование сайта https://journals.rcsi.science/ (далее – «Сайт»), подтверждая свою полную дееспособность даю согласие на обработку персональных данных с использованием средств автоматизации Оператору - федеральному государственному бюджетному учреждению «Российский центр научной информации» (РЦНИ), далее – «Оператор», расположенному по адресу: 119991, г. Москва, Ленинский просп., д.32А, со следующими условиями.

2. Категории обрабатываемых данных: файлы «cookies» (куки-файлы). Файлы «cookie» – это небольшой текстовый файл, который веб-сервер может хранить в браузере Пользователя. Данные файлы веб-сервер загружает на устройство Пользователя при посещении им Сайта. При каждом следующем посещении Пользователем Сайта «cookie» файлы отправляются на Сайт Оператора. Данные файлы позволяют Сайту распознавать устройство Пользователя. Содержимое такого файла может как относиться, так и не относиться к персональным данным, в зависимости от того, содержит ли такой файл персональные данные или содержит обезличенные технические данные.

3. Цель обработки персональных данных: анализ пользовательской активности с помощью сервиса «Яндекс.Метрика».

4. Категории субъектов персональных данных: все Пользователи Сайта, которые дали согласие на обработку файлов «cookie».

5. Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.

6. Срок обработки и хранения: до получения от Субъекта персональных данных требования о прекращении обработки/отзыва согласия.

7. Способ отзыва: заявление об отзыве в письменном виде путём его направления на адрес электронной почты Оператора: info@rcsi.science или путем письменного обращения по юридическому адресу: 119991, г. Москва, Ленинский просп., д.32А

8. Субъект персональных данных вправе запретить своему оборудованию прием этих данных или ограничить прием этих данных. При отказе от получения таких данных или при ограничении приема данных некоторые функции Сайта могут работать некорректно. Субъект персональных данных обязуется сам настроить свое оборудование таким способом, чтобы оно обеспечивало адекватный его желаниям режим работы и уровень защиты данных файлов «cookie», Оператор не предоставляет технологических и правовых консультаций на темы подобного характера.

9. Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований определяется Оператором в соответствии с законодательством Российской Федерации.

10. Я согласен/согласна квалифицировать в качестве своей простой электронной подписи под настоящим Согласием и под Политикой обработки персональных данных выполнение мною следующего действия на сайте: https://journals.rcsi.science/ нажатие мною на интерфейсе с текстом: «Сайт использует сервис «Яндекс.Метрика» (который использует файлы «cookie») на элемент с текстом «Принять и продолжить».