Research Article
BibTex RIS Cite

Yeni bir güvenli yazılım geliştirme uygulama modeli: GYG-MOD

Year 2021, Volume: 13 Issue: 1, 39 - 49, 30.04.2021

Abstract

Teknolojik gelişmelerin ivmelenen hızıyla birlikte, internet ve mobilite insanların günlük yaşamına daha fazla nüfuz etmeye başlamıştır. Yaşamımızın internet ile bütünleşik hale gelmesi, kişisel bilgilerimizi ve üretilen verilerimizi daha güvenli hale getirmemizi zorunlu hale getirmektedir. Yaygın internet kullanımıyla beraber günümüzde artan güvenlik açıklıkları, sistemlerin altyapı olarak daha korunaklı ve güçlü olmasını gerektirmektedir. Bu altyapılar bilişim sistemlerinde ağ, sistem ve yazılım temelli olmaktadır. Ağ ve sistem mimarisi temelli güvenlik önlemleri daha çok bilişim ürünlerinin, son kullanıcıların kullanımına sunulduktan sonra alınabilecek güvenlik önlemlerine yönlendirmektedir. Yazılım ürünlerinde ise piyasaya sürülmeden henüz yapım aşamasındayken güvenlik önlemlerinin alınmasıyla bilişim maliyetleri düşmektedir. Bu çalışmada, yazılımların güvenli hale getirilmesi için, projelerin kullanıma başlamadan önce henüz geliştirme aşamasında iken güvenlik prensibinin yazılım geliştirme sürecine dâhil edilmesi üzerine bir uygulama modeli geliştirilmiştir. TÜBİTAK tarafından yayınlanan Güvenli Yazılım Geliştirme Kılavuzu temel alınarak güvenlik test yöntemleri, kuralların tanımı, geliştirilen kodun hangi zafiyetlere yol açabileceği bilgilerinin projelerin geliştirme aşamasında nasıl uygulanacağına dair tasarlanan model açıklanmıştır. Geliştirilen kodun parçalara ayrılarak uygulama güvenlik kurallarından geçirilmesi ve bu kuralların hangi kod bloklarında uygulandığı bilgisinin çalışma kapsamında hazırlanan rapora girilmesi modellenmiştir. Böylece son kullanıcılar ve ticari firmalar yazılımları kullanırken ortaya çıkan güvenlik raporu ile şüphe duymadan güvenli yapıda geliştirilen yazılımları kullanabilecektir. Tasarlanan modelin kullanılabilir olduğunu gösterebilmek adına, model 5 proje ekibine kullandırılmış ve geliştiricilere bir anket uygulanmıştır.

References

  • Kaya A., Öğün M. N., Siber Güvenliğin Milli Güvenlik Açısından Önemi ve Alınabilecek Tedbirler, Güvenlik Stratejileri Dergisi, 9(18), 145–181, 2013.
  • Koç G., Yazılım geliştirme modellerinin güvenlik açısından analizi ve bir güvenli yazılım geliştirme modeli önerisi, Yüksek Lisans Tezi (MSc Thesis), Hacettepe Üniversitesi, Ankara, Türkiye, 2017.
  • IBM News Room., IBM Araştırması: Türkiye’de her bir veri ihlalinin ortalama maliyeti 11,15 milyon TL, https://tr.newsroom.ibm.com/2020-03-06-ibm-survey-average-cost-of-data-breach (Erişim Tarihi: 06.12.2019)
  • Dickson B. J., AppSec Survey 2.0 Fine-Tuning an AppSec Training Program Based on Data, https://www.slideshare.net/denimgroup/appsec-survey-20-finetuning-an-appsec-training-program-based-on-data-final-91714 (Erişim Tarihi: 06.12.2019)
  • Vonnegut S., 5 Steps That WILL Raise Your Developers Information Security Awareness, Checkmarx, https://www.checkmarx.com/2015/07/17/5-steps-that-will-raise-your-developers-information-security-awareness/ (Erişim Tarihi: 06.12.2019)
  • Raj G., Singh Dr. D., Bansal Dr. A., Analysis for Security Implementation in SDLC, 2014 5th International Conference-Confluence The Next Generation Information Technology Summit (Confluence), Noida, Hindistan 221-226, 25-26 Eylül 2014.
  • Abdul Karim N. S., Albuolayan A., Saba T., Rehman A., The Practice of Secure Software Development in SDLC: An Investigation Through Existing Model and a Case Study, Wiley Online Library, 9, 5333–5345, 2016.
  • Wulf F., Strahringer S., Westner M., Information Security Risks, Benefits, and Mitigation Measures in Cloud Sourcing, 21st Conference on Business Informatics (CBI), Moscow, Rusya, 258-267, 15-17 Temmuz, 2019.
  • Wijesiriwardana C., Wimalaratne P., On the Detection and Analysis of Software Security, 2017 International Conference on IoT and Application (ICIOT), Nagapattinam, Hindistan, 1-4, 19-20 Ekim, 2017.
  • Kim S., Ryou J., Source Code Analysis for Static Prediction of Dynamic Memory Usage, 2019 International Conference on Platform Technology and Service (PlatCon), Jeju, Güney Kore, 1-4, 28-30 Ocak, 2019.
  • Anis A., Zulkernine M., Iqbal S., Liem C. and Chambers C., Securing Web Applications with Secure Coding Practices and Integrity Verification, 2018 IEEE 16th Intl Conf on Dependable, Autonomic and Secure Computing, 16th Intl Conf on Pervasive Intelligence and Computing, 4th Intl Conf on Big Data Intelligence and Computing and Cyber Science and Technology Congress(DASC/ PiCom/ DataCom/ CyberSciTech), Athens, Yunanistan, 618-625, 12-15 Ağustos, 2018.
  • Sarıman G., Küçüksille E. U., Web Servislerinin Yazılım Güvenlik Testleri İçin Önerilen Hibrit Yaklaşım, SDU International Journal of Technological Science, 8(2), 1–14, 2016.
  • Kaplan F., Yazılım güvenlik açıklarına karşı güvenli tasarım desenlerinin incelenmesi ve uygulanması, Yüksek Lisans Tezi, KTO Karatay Üniversitesi, Konya, Türkiye, 2019.
  • Bulut F. G., Predicting Software Vulnerabilities Using Topic Modeling With Issues, Yüksek Lisans Tezi, Istanbul Technical University, İstanbul, Türkiye, 2019.
  • Chandra P., Software Assurance Maturity Model, https://www.owasp.org/images/6/6f/SAMM_Core_V1-5_FINAL.pdf (Erişim Tarihi: 10.12.2019)
  • BSIMM, About the BSIMM, https://www.bsimm.com/about.html (Erişim Tarihi: 10.12.2019)
  • TUBİTAK, Bilişim ve Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi, Siber Güvenlik Eğitim Portalı, May 28, 2018, URL: https://egitim.sge.gov.tr/pluginfile.php/6115/mod_page/content/26/SGE-KLV-GuvenliYazilimGelistirmeKilavuzu_R1.1.pdf (Erişim Tarihi: 25.10.2019)
  • Common Weakness Enumeration, https://cwe.mitre.org/ (Erişim Tarihi: 26.12.2019)

A novel secure software development application model: SSD-MOD

Year 2021, Volume: 13 Issue: 1, 39 - 49, 30.04.2021

Abstract

Abstract: With the accelerated speed of technological developments, the internet and mobility have started to effect more into people's daily life. The integration of our life with the internet makes it compulsory to make our personal information and our produced data safer. With the widespread use of the Internet, increasing security vulnerabilities today require systems to be more protected and stronger as infrastructure. These infrastructures are network, system and software based in information systems. Network and system architecture-based security measures redirect to the security rules after the products are made available for end users. In software products, costs are reduced by taking security measures while it is still under construction. In this study, an application model has been developed about the inclusion of the security principle in the software development process while the projects are still in development phase to make the software more secure. Based on the Safe Software Development Guide published by TÜBİTAK, the model designed for how to apply security testing methods, definition of rules, and what developed code may lead weaknesses during the development phase of the projects is explained. It is modeled that the application security rules are modeled by dividing the developed code into the parts and entered the rules into the report prepared within the scope of the study, in which lines and blocks of code are applied. Thus, end users and commercial companies will be able to use the software without any doubt which are developed in a secure structure with the prepared security report. In order to show that the designed model is usable, the model was used by a small software team and a questionnaire was applied to the developers.

References

  • Kaya A., Öğün M. N., Siber Güvenliğin Milli Güvenlik Açısından Önemi ve Alınabilecek Tedbirler, Güvenlik Stratejileri Dergisi, 9(18), 145–181, 2013.
  • Koç G., Yazılım geliştirme modellerinin güvenlik açısından analizi ve bir güvenli yazılım geliştirme modeli önerisi, Yüksek Lisans Tezi (MSc Thesis), Hacettepe Üniversitesi, Ankara, Türkiye, 2017.
  • IBM News Room., IBM Araştırması: Türkiye’de her bir veri ihlalinin ortalama maliyeti 11,15 milyon TL, https://tr.newsroom.ibm.com/2020-03-06-ibm-survey-average-cost-of-data-breach (Erişim Tarihi: 06.12.2019)
  • Dickson B. J., AppSec Survey 2.0 Fine-Tuning an AppSec Training Program Based on Data, https://www.slideshare.net/denimgroup/appsec-survey-20-finetuning-an-appsec-training-program-based-on-data-final-91714 (Erişim Tarihi: 06.12.2019)
  • Vonnegut S., 5 Steps That WILL Raise Your Developers Information Security Awareness, Checkmarx, https://www.checkmarx.com/2015/07/17/5-steps-that-will-raise-your-developers-information-security-awareness/ (Erişim Tarihi: 06.12.2019)
  • Raj G., Singh Dr. D., Bansal Dr. A., Analysis for Security Implementation in SDLC, 2014 5th International Conference-Confluence The Next Generation Information Technology Summit (Confluence), Noida, Hindistan 221-226, 25-26 Eylül 2014.
  • Abdul Karim N. S., Albuolayan A., Saba T., Rehman A., The Practice of Secure Software Development in SDLC: An Investigation Through Existing Model and a Case Study, Wiley Online Library, 9, 5333–5345, 2016.
  • Wulf F., Strahringer S., Westner M., Information Security Risks, Benefits, and Mitigation Measures in Cloud Sourcing, 21st Conference on Business Informatics (CBI), Moscow, Rusya, 258-267, 15-17 Temmuz, 2019.
  • Wijesiriwardana C., Wimalaratne P., On the Detection and Analysis of Software Security, 2017 International Conference on IoT and Application (ICIOT), Nagapattinam, Hindistan, 1-4, 19-20 Ekim, 2017.
  • Kim S., Ryou J., Source Code Analysis for Static Prediction of Dynamic Memory Usage, 2019 International Conference on Platform Technology and Service (PlatCon), Jeju, Güney Kore, 1-4, 28-30 Ocak, 2019.
  • Anis A., Zulkernine M., Iqbal S., Liem C. and Chambers C., Securing Web Applications with Secure Coding Practices and Integrity Verification, 2018 IEEE 16th Intl Conf on Dependable, Autonomic and Secure Computing, 16th Intl Conf on Pervasive Intelligence and Computing, 4th Intl Conf on Big Data Intelligence and Computing and Cyber Science and Technology Congress(DASC/ PiCom/ DataCom/ CyberSciTech), Athens, Yunanistan, 618-625, 12-15 Ağustos, 2018.
  • Sarıman G., Küçüksille E. U., Web Servislerinin Yazılım Güvenlik Testleri İçin Önerilen Hibrit Yaklaşım, SDU International Journal of Technological Science, 8(2), 1–14, 2016.
  • Kaplan F., Yazılım güvenlik açıklarına karşı güvenli tasarım desenlerinin incelenmesi ve uygulanması, Yüksek Lisans Tezi, KTO Karatay Üniversitesi, Konya, Türkiye, 2019.
  • Bulut F. G., Predicting Software Vulnerabilities Using Topic Modeling With Issues, Yüksek Lisans Tezi, Istanbul Technical University, İstanbul, Türkiye, 2019.
  • Chandra P., Software Assurance Maturity Model, https://www.owasp.org/images/6/6f/SAMM_Core_V1-5_FINAL.pdf (Erişim Tarihi: 10.12.2019)
  • BSIMM, About the BSIMM, https://www.bsimm.com/about.html (Erişim Tarihi: 10.12.2019)
  • TUBİTAK, Bilişim ve Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi, Siber Güvenlik Eğitim Portalı, May 28, 2018, URL: https://egitim.sge.gov.tr/pluginfile.php/6115/mod_page/content/26/SGE-KLV-GuvenliYazilimGelistirmeKilavuzu_R1.1.pdf (Erişim Tarihi: 25.10.2019)
  • Common Weakness Enumeration, https://cwe.mitre.org/ (Erişim Tarihi: 26.12.2019)
There are 18 citations in total.

Details

Primary Language Turkish
Journal Section Articles
Authors

Güncel Sarıman 0000-0003-3188-8869

Habibe Çelikten 0000-0002-7019-001X

Publication Date April 30, 2021
Published in Issue Year 2021 Volume: 13 Issue: 1

Cite

IEEE G. Sarıman and H. Çelikten, “Yeni bir güvenli yazılım geliştirme uygulama modeli: GYG-MOD”, UTBD, vol. 13, no. 1, pp. 39–49, 2021.

Dergi isminin Türkçe kısaltması "UTBD" ingilizce kısaltması "IJTS" şeklindedir.

Dergimizde yayınlanan makalelerin tüm bilimsel sorumluluğu yazar(lar)a aittir. Editör, yardımcı editör ve yayıncı dergide yayınlanan yazılar için herhangi bir sorumluluk kabul etmez.