Secure Software Development in Agile Development Processes of E-Government Applications

Yıl 2018, Cilt: 3 Sayı: 1, 73 - 84, 05.04.2018

Ahmet Efe Nisanur Mühürdaroğlu

https://doi.org/10.23834/isrjournal.396735

Cited By: 1

Öz

Agile software development process is found
to be the most useful for software industry, since it provides flexibility over
requirements and specifications that can change over time. For this reason,
government departments and municipalities as well as private organizations can
develop products in a faster way but with some disadvantages as well as
advantages. One of the concerns is the security problem due to increasing
sophisticated attacks and their incrementing costs for cyber defense. Considering
the increasing attacks over e-government platforms, development of software
requires more emphasis on the security aspect. Particularly for government
institutions that mostly have to lean on third party providers for software
development that will provide automation of public services via internet,
secure software problem became one of the most crucial concerns. Because of
some vulnerability that is caused by incremental model developers are enforced
to make more secure products.  In this
paper, large amount of literature has been researched to specify the security
issues in agile processes which is the most common and chosen methodology for
its elasticity. There are some challenges to provide secure software in agile
processes. We have tried to answer why we could not develop secure software
because of challenges and what methods can be used to overcome challenges.
Comparative security engineering processes have explained to have secure
software.

Anahtar Kelimeler

Agile Software Development Process, Secure Software, Security Engineering Processes, E-Government Security

E-Devlet Uygulamalarının Çevik Geliştirme Süreçlerinde Güvenli Yazılım

Öz

Çevik yazılım geliştirme süreci, zamanla değişebilen
şartlar ve şartnameler üzerinde esneklik sağladığı için, yazılım endüstrisi
için en yararlı olduğu bulunmuştur. Bu nedenle, devlet daireleri ve belediyeler
ile özel kuruluşlar ürünlerin daha hızlı bir şekilde geliştirilebileceği gibi,
bazı dezavantajları ve avantajları da beraberinde getirebilirler. Endişelerden
biri, artan sofistike saldırılar ve bunların siber savunma için artan
maliyetler nedeniyle güvenlik problemidir. E-devlet platformları üzerindeki
artan saldırıları göz önüne alarak, yazılımın geliştirilmesi güvenlik yönüne
daha fazla önem vermeyi gerektirir. Özellikle internet üzerinden kamu
hizmetlerinin otomasyonu sağlayacak yazılım geliştirme için üçüncü parti
sağlayıcılara ağırlık vermek zorunda olan devlet kurumları için güvenli yazılım
sorunu en önemli endişelerden biri haline geldi. Geliştirici modelden
kaynaklanan bazı güvenlik açığı nedeniyle, geliştiriciler daha güvenli ürünler
üretmeye zorlanmaktadır. Bu yazıda esnekliği için en yaygın ve seçilmiş yöntem
olan çevik süreçlerdeki güvenlik konularını belirlemek için çok sayıda
literatür araştırılmıştır. Çevik süreçlerde güvenli yazılım sağlamak için bazı
zorluklar vardır. Zorluklardan ve zorlukların üstesinden gelmek için hangi
yöntemlerin kullanılabileceğinden dolayı güvenli yazılım geliştirilemediğimizi
yanıtlamaya çalıştık. Karşılaştırmalı güvenlik mühendisliği süreçleri, güvenli
bir yazılıma sahip olduklarını açıkladı.

Anahtar Kelimeler

Çevik Yazılım Geliştirme Süreci, Güvenli Yazılım, Güvenlik Mühendisliği Süreçleri, E-Devlet Güvenliği

Kaynakça

• Alberts, J., & Allen, R. (2011). Risk based measurement and analysis: Application to software security. Carneige Mellon University Pittsburg: Software Enginnering Instıtute.
• Ambler, S. (2013). Retrieved from The Agile System Develpoment Lifecycle: http://www.ambysoft.com/agileLifecycle.html
• Anderson, R. (2003). What is Security Engineering? In Security Engineering. New York: Wiley.
• Baca, D., & Carlsson, B. (n.d.). Agile Development with Security Engineering Activities.
• Beznosov, K., & Kruchten, P. (n.d.). Towards Agile Security Assurance.
• Bostrom, G., & Jaana Wayrynen, M. B. (2006). Extending XP Practices to support Security Requirements Engineering (pp. 11-17). ACM SESS 06.
• Creel, R. (2007). Assuring Software Systems Security: Life Cycle Considerations for Government Acquisitions. Carnegie Mellon University , https://www.us-cert.gov/bsi/articles/best-practices/acquisition/assuring-software-systems-security---life-cycle-considerations-government-acquisitions.
• Davis, N. (2005). Secure Software Development Life Cycle Processes: A Technology Scouting Report. http://www.dtic.mil/docs/citations/ADA447047: Carnegie-Mellon Univ Pittsburgh Pa Software Engineering Inst.
• Dyba, T., & Dingsoyr, T. (n.d.). Emprical Studies of Agile Software Development: A Systematic Review. Information and Software Technology Elseiver, 883-859.
• Efe, A. (2013). COBIT-5 Framework As A Model For The Regional Development Agencies In TURKEY. INTERNATIONAL JOURNAL OF eBUSINESS AND eGOVERNMENT STUDIES, 33-43, http://dergipark.gov.tr/download/article-file/257103.
• Efe, A. (2016). Kamu Yönetiminde COBIT-5 Çerçevesinde Risk Yönetimi: Türkiye’de Kalkınma Ajansları Özelinde Bir Analiz . Uluslararası Eğitim Bilim ve Teknoloji Dergisi, 1 - 18, http://dergipark.gov.tr/uebt/issue/21610/232109.
• Efe, A. (2016). Unearthing and Enhancing Intelligence and Wisdom Within the COBIT 5 Governance of Information Model. ISACA Journal, http://www.isaca.org/Knowledge-Center/Research/Documents/COBIT-Focus-Unearthing-and-Enhancing-Intelligence-and-Wisdom-Within_nlt_Eng_0416.pdf.
• Efe, A. (2017). A Model Proposal for Organizational Prudence and Wisdom Within Governance of Business and Enterprise IT. ISACA Journal, http://www.isaca.org/Knowledge-Center/Research/Documents/COBIT-Focus-A-Model-Proposal-for-Organizational-Prudence_nlt_Eng_0317.pdf.
• Efe, A. (2017). Kamu Yönetiminde Cobit-5 Bilişim Yönetişiminin Kalkinma Ajanslari Özelinde Uygulanabilirliği. Yönetim Bilişim Sistemleri Dergisi, 1-26, http://dergipark.gov.tr/download/article-file/331323.
• Ge, X., Richard F. Paige, F. A., Chivers, H., & Brooke, P. J. (2006). Agile development of secure web applications. Proceeding ICWE '06 Proceedings of the 6th international conference on Web engineering , (pp. 305-312 ). Palo Alto, California, USA .
• Geer, D. (2010). Are Companies Actually Using Secure Development Life Cycles? Computer, Volume: 43 Issue: 6.Ghani, I., & Yasin, I. (2013). Software Security Engineering in Extreme Programming Methodology: A Sistematic Literature (pp. 215-221). Science International Volume.
• Hossein Keramati, S.-H. M. (2008). Computer Systems and Applications. Integating Software Development Security Activities with Agile Methodologies (pp. 749-754). ACS/IEEE International Conference on Computer Systems and Applications.
• Howard, H., & Lipner, S. (2006). The Security Development Lifecycle. Microsoft Press.
• J. Wayrynen, M. B. (August 15-18, 2004). Security Engineering and Extreme Programmng and Agile Methods. Calgary, Canada.
• Othmane, L., Weffers, H., Angin, P., & Bhargava, B. (2014). Extending the agile development process to develop acceptably secure software. IEEE Transactions on dependable and secure computing.
• Ouslati, H., & M.M. Rahman, L. O. (n.d.). Literature Review of the Challenges of Developing Secure Software Using the Agile Approach.
• Peeters, J. (2017). Secure Application Development. Retrieved from Agile Security Requirements Engineering: https://handouts.secappdev.org/handouts/2008/abuser%20stories.pdf
• S. Bryan, S. (2010). Security Practices for Agile Development. MSDN Magazine.
• Tondel, I. A., Jaatun, M. G., & Meland, P. H. (2008). Security Requirements for the Rest of Us: A Survey. IEEE Software.
• Wayrynen, J., & M. Boden, G. B. (2004). Security. Engineering and Extreme Programming: An Impossible Marriage? (p. 117). In Proceedings of the 4th Conference on Extreme Programming and Agile Methods.
• Wimmel, M. V., & Wisspeintner, A. (2002). Secure Systems Development Based on the Common Criteria: the palME Project. South Carolina, USA: Tenth ACM SIGSOFT Symposium.