Освіта у Львівській політехніці

Інформаційна система для інтеграції засобів безпеки в CI/CD конвеєри

Автор: Сироїд Віталій Петрович

Кваліфікаційний рівень: магістр

Спеціальність: Інформаційні системи та технології

Інститут: Інститут комп'ютерних наук та інформаційних технологій

Форма навчання: денна

Навчальний рік: 2025-2026 н.р.

Мова захисту: українська

Анотація: Робота присвячена інтеграції контролю безпеки безпосередньо у процес безперервної інтеграції та доставки, щоб виявляти відомі вразливості всередині конвеєра без зниження темпу розробки та з фіксацією доказової бази для аудиту. Актуальність зумовлена залежністю сучасних проектів від сторонніх бібліотек і базових контейнерних образів, що підвищує ризики ланцюга постачання. Запропоновано відтворюваний CI/CD-процес на основі GitHub Actions, Docker і Trivy, у якому кожен прогін формує артефакти запусків зі звітами та журналами. Архітектуру і поведінку системи узгоджено за допомогою UML-моделей, а цілі та критерії обґрунтовано через дерево цілей і подальшу їх формалізацію для оцінювання [1, 2]. Конвеєр працює подієво від push і pull request. Початкове завантаження коду здійснюється стандартною дією actions/checkout у хмарному середовищі ubuntu-latest, що забезпечує стабільні умови виконання. Далі відбувається побудова контейнерного образу на основі офіційного Python-образу з інсталяцією залежностей з requirements.txt [5, 6]. Сканування виконується послідовно у двох режимах Trivy [7]. Спершу аналізується файловий простір репозиторію, де перевіряються маніфести залежностей і допоміжні файли збірки. Потім перевіряється вже зібраний образ із урахуванням прикладних бібліотек та системних пакетів базового шару. Звіти Trivy і журнали кожного кроку зберігаються як артефакти, що забезпечує простежуваність і можливість ретроспективного аналізу без додаткової інфраструктури [3, 4]. Методична основа поєднує аналітичний і експериментальний підходи. На аналітичному етапі визначено критерії оцінювання та відповідні показники спостереження. Відтворюваність трактується як стабільність результатів за однакових умов і узгодженість артефактів між прогонами. Точність пов’язана з відповідністю ідентифікаторів CVE та рівнів серйозності у звітах Trivy і відсутністю стійких хибнопозитивних спрацювань. Прозорість підтверджується наявністю звітів і журналів у складі артефактів та можливістю їх незалежного перегляду. Автоматизованість означає безперервне виконання кроків від подій керування версіями до формування артефактів і оновлення підсумкового статусу перевірок у pull request без ручних втручань [3, 4]. На експериментальному етапі конвеєр запускається серіями на одному й тому ж коміті в однакових умовах середовища. Це дає змогу зіставляти тривалість виконання, вміст артефактів і результати перевірок між повторами та робити обґрунтовані висновки щодо властивостей рішення [8]. Об’єкт дослідження - процес інтеграції засобів безпеки у конвеєр безперервної інтеграції та доставки. Предмет дослідження - методи та засоби для інтеграції засобів безпеки в CI/CD конвеєри. Мета роботи полягає в створенні інформаційної системи для інтеграції засобів безпеки в CI/CD конвеєри. Отримано стабільні результати між повторами, що свідчить про відтворюваність конвеєра в уніфікованому середовищі виконання. У звітах Trivy спостерігається узгоджена ідентифікація CVE та рівнів серйозності, а також повна простежуваність завдяки збереженим артефактам запусків. Переважна частина виявлень високої серйозності належить до прикладних залежностей Python, тоді як базовий шар операційної системи містить переважно записи нижчих рівнів. Часовий наклад сканувань є помірним і не перешкоджає робочому темпу. Застосовано ризик-орієнтований підхід, коли блокування змін відбувається лише за високими та критичними виявленнями, що дозволяє зберігати швидкість збірок і водночас підвищувати довіру до артефактів постачання. Рішення не передбачає публікації образів у зовнішні реєстри та не використовує зовнішні секрети, що відповідає встановленим межам системи і спрощує відтворення на інших репозиторіях [4, 6]. Практична значущість полягає в тому, що запропонована конфігурація може бути швидко перенесена на інші проекти без розгортання додаткових сервісів. Комбінація GitHub Actions, Docker та Trivy забезпечує автоматизацію, прозорість і аудиторність процесу, а збережені артефакти підтримують командну співпрацю і подальші перевірки [3, 5]. Робота формує реалістичну основу для розширення контролю безпеки у майбутньому, зокрема через додавання статичного і динамічного аналізу коду, перевірок інфраструктури як коду, генерування списків складу ПЗ і верифікацію походження артефактів [8]. Ключові слова: CI/CD, DevSecOps, GitHub Actions, Docker, Trivy, вразливості. Перелік використаних літературних джерел. 1. Kim, G., Humble, J., Debois, P., & Willis, J. (2016). The DevOps handbook: How to create world-class agility, reliability, and security in technology organizations. IT Revolution Press. 2. Red Hat. (2025). What is CI/CD? Red Hat. https://www.redhat.com/en/topics/ devops/what-is-ci-cd 3. GitHub. (2025). Introduction to GitHub Actions. GitHub Docs. https://docs. github.com/en/actions 4. Aqua Security. (2025). Trivy documentation. Aqua Security. https://trivy.dev/ latest/ 5. Docker. (2025). Docker Build and Dockerfiles. Docker Documentation. https://docs.docker.com/build/ 6. Docker. (2025). Python - Official image. Docker Hub. https://hub.docker.com/ _/python 7. Aqua Security. (2025). aquasecurity/trivy-action: Usage and inputs. GitHub. https://github.com/aquasecurity/trivy-action 8. National Institute of Standards and Technology. (2022). Secure Software Development Framework (SSDF) Version 1.1 (NIST SP 800-218). NIST. https://csrc.nist.gov/pubs/sp/800/218/final