Enhancing Effectiveness of DevSecOps for Layered Security in CI/CD Workflows

Abstract

This study presents a layered security approach for Continuous Integration and Continuous Delivery (CI/CD) pipelines to enhance security. The research aims to provide a guideline for reducing vulnerability in the build stage, which is the main point in reducing security risks from the beginning before the production environment, and to analyze the performance of resource usage that the build stage uses, as well as the whole stage of the layered secure pipeline. Herein, analyzed resources include Execution Time, Memory, and CPU. The experiment used Jenkins to deploy Node.js applications of different sizes and types. The results show that vulnerabilities in the build stage are reduced by up to 16.5% after remediation, while the CPU usage was more utilized efficiently. In parallel, the memory usage of the layered security pipeline was increased during the final stages of the pipeline, which is slightly higher than that of unsecured practices. Portainer, a lightweight monitoring tool, evaluates these resources for this work. Finally, this study shows that integrating security in the CI/CD pipeline does not negatively impact resource usage and provides insight into resource monitoring for DevOps engineers to effectively implement security practices within their CI/CD pipelines.

งานวิจัยนี้นำเสนอแนวทางด้านความปลอดภัยแบบหลายชั้นสำหรับกระบวนการ Continuous Integration และ Continuous Delivery (CI/CD) เพื่อเพิ่มความปลอดภัย จุดประสงค์ของงานวิจัยนี้ คือเพื่อให้แนวทางในการลดช่องโหว่ในขั้นตอนการสร้าง (Build Stage) ซึ่งเป็นจุดสำคัญในการลดความเสี่ยงด้านความปลอดภัยตั้งแต่ระยะเริ่มต้นก่อนสภาพแวดล้อมการผลิตหรือก่อนที่จะใช้งานจริง อีกทั้งเพื่อวิเคราะห์ประสิทธิภาพของการใช้ทรัพยากรที่ Build Stage ใช้ รวมถึงทุกขั้นตอนของไปป์ไลน์ความปลอดภัยแบบหลายชั้นทั้งหมด โดยทรัพยากรที่วิเคราะห์ในงานวิจัยนี้ประกอบด้วย เวลาในการดำเนินการ (Execution Time) หน่วยความจำ (Memory) และ CPU การทดลองนี้ได้ใช้ Jenkins เพื่อทำการ Deploy แอปพลิเคชัน Node.js ที่มีขนาดและประเภทแตกต่างกัน ผลลัพธ์แสดงให้เห็นว่าหลังจากแก้ไขช่องโหว่ในขั้นตอนการสร้าง ช่องโหว่ลดลงถึงร้อยละ 16.5 โดยการใช้งาน CPU ถูกใช้อย่างเต็มประสิทธิภาพมากขึ้น ในขณะเดียวกัน การใช้หน่วยความจำของไปป์ไลน์ความปลอดภัยแบบหลายชั้นเพิ่มขึ้นในช่วงขั้นตอนสุดท้ายของกระบวนการ ซึ่งเพิ่มขึ้นเล็กน้อยเมื่อเทียบกับไปป์ไลน์ที่ไม่ปลอดภัย ใช้ Portainer เป็นเครื่องมือตรวจสอบทรัพยากร โดยสรุปแล้ว งานวิจัยแสดงให้เห็นว่าการบูรณาการความปลอดภัยเข้ากับ CI/CD ไปป์ไลน์ ไม่ส่งผลกระทบเชิงลบต่อทรัพยากร และสามารถให้ข้อมูลเชิงลึกเกี่ยวกับการใช้ทรัพยากรสำหรับวิศวกร DevOps เพื่อเป็นแนวทางปฏิบัติด้านความปลอดภัยไปใช้ใน CI/CD ไปป์ไลน์ได้อย่างมีประสิทธิภาพ