E-Devlet Uygulamalarının Çevik Geliştirme Süreçlerinde Güvenli Yazılım

Çevik yazılım geliştirme süreci, zamanla değişebilen şartlar ve şartnameler üzerinde esneklik sağladığı için, yazılım endüstrisi için en yararlı olduğu bulunmuştur. Bu nedenle, devlet daireleri ve belediyeler ile özel kuruluşlar ürünlerin daha hızlı bir şekilde geliştirilebileceği gibi, bazı dezavantajları ve avantajları da beraberinde getirebilirler. Endişelerden biri, artan sofistike saldırılar ve bunların siber savunma için artan maliyetler nedeniyle güvenlik problemidir. E-devlet platformları üzerindeki artan saldırıları göz önüne alarak, yazılımın geliştirilmesi güvenlik yönüne daha fazla önem vermeyi gerektirir. Özellikle internet üzerinden kamu hizmetlerinin otomasyonu sağlayacak yazılım geliştirme için üçüncü parti sağlayıcılara ağırlık vermek zorunda olan devlet kurumları için güvenli yazılım sorunu en önemli endişelerden biri haline geldi. Geliştirici modelden kaynaklanan bazı güvenlik açığı nedeniyle, geliştiriciler daha güvenli ürünler üretmeye zorlanmaktadır. Bu yazıda esnekliği için en yaygın ve seçilmiş yöntem olan çevik süreçlerdeki güvenlik konularını belirlemek için çok sayıda literatür araştırılmıştır. Çevik süreçlerde güvenli yazılım sağlamak için bazı zorluklar vardır. Zorluklardan ve zorlukların üstesinden gelmek için hangi yöntemlerin kullanılabileceğinden dolayı güvenli yazılım geliştirilemediğimizi yanıtlamaya çalıştık. Karşılaştırmalı güvenlik mühendisliği süreçleri, güvenli bir yazılıma sahip olduklarını açıkladı.

Anahtar Kelimeler:

Çevik Yazılım Geliştirme Süreci, Güvenli Yazılım, Güvenlik Mühendisliği Süreçleri, E-Devlet Güvenliği

Secure Software Development in Agile Development Processes of E-Government Applications

Agile software development process is found to be the most useful for software industry, since it provides flexibility over requirements and specifications that can change over time. For this reason, government departments and municipalities as well as private organizations can develop products in a faster way but with some disadvantages as well as advantages. One of the concerns is the security problem due to increasing sophisticated attacks and their incrementing costs for cyber defense. Considering the increasing attacks over e-government platforms, development of software requires more emphasis on the security aspect. Particularly for government institutions that mostly have to lean on third party providers for software development that will provide automation of public services via internet, secure software problem became one of the most crucial concerns. Because of some vulnerability that is caused by incremental model developers are enforced to make more secure products. In this paper, large amount of literature has been researched to specify the security issues in agile processes which is the most common and chosen methodology for its elasticity. There are some challenges to provide secure software in agile processes. We have tried to answer why we could not develop secure software because of challenges and what methods can be used to overcome challenges. Comparative security engineering processes have explained to have secure software.

Keywords:

Agile Software Development Process, Secure Software, Security Engineering Processes, E-Government Security,

PDF

___

Alberts, J., & Allen, R. (2011). Risk based measurement and analysis: Application to software security. Carneige Mellon University Pittsburg: Software Enginnering Instıtute.
Ambler, S. (2013). Retrieved from The Agile System Develpoment Lifecycle: http://www.ambysoft.com/agileLifecycle.html
Anderson, R. (2003). What is Security Engineering? In Security Engineering. New York: Wiley.
Baca, D., & Carlsson, B. (n.d.). Agile Development with Security Engineering Activities.
Beznosov, K., & Kruchten, P. (n.d.). Towards Agile Security Assurance.
Bostrom, G., & Jaana Wayrynen, M. B. (2006). Extending XP Practices to support Security Requirements Engineering (pp. 11-17). ACM SESS 06.
Creel, R. (2007). Assuring Software Systems Security: Life Cycle Considerations for Government Acquisitions. Carnegie Mellon University , https://www.us-cert.gov/bsi/articles/best-practices/acquisition/assuring-software-systems-security---life-cycle-considerations-government-acquisitions.
Davis, N. (2005). Secure Software Development Life Cycle Processes: A Technology Scouting Report. http://www.dtic.mil/docs/citations/ADA447047: Carnegie-Mellon Univ Pittsburgh Pa Software Engineering Inst.
Dyba, T., & Dingsoyr, T. (n.d.). Emprical Studies of Agile Software Development: A Systematic Review. Information and Software Technology Elseiver, 883-859.
Efe, A. (2013). COBIT-5 Framework As A Model For The Regional Development Agencies In TURKEY. INTERNATIONAL JOURNAL OF eBUSINESS AND eGOVERNMENT STUDIES, 33-43, http://dergipark.gov.tr/download/article-file/257103.
Efe, A. (2016). Kamu Yönetiminde COBIT-5 Çerçevesinde Risk Yönetimi: Türkiye’de Kalkınma Ajansları Özelinde Bir Analiz . Uluslararası Eğitim Bilim ve Teknoloji Dergisi, 1 - 18, http://dergipark.gov.tr/uebt/issue/21610/232109.
Efe, A. (2016). Unearthing and Enhancing Intelligence and Wisdom Within the COBIT 5 Governance of Information Model. ISACA Journal, http://www.isaca.org/Knowledge-Center/Research/Documents/COBIT-Focus-Unearthing-and-Enhancing-Intelligence-and-Wisdom-Within_nlt_Eng_0416.pdf.
Efe, A. (2017). A Model Proposal for Organizational Prudence and Wisdom Within Governance of Business and Enterprise IT. ISACA Journal, http://www.isaca.org/Knowledge-Center/Research/Documents/COBIT-Focus-A-Model-Proposal-for-Organizational-Prudence_nlt_Eng_0317.pdf.
Efe, A. (2017). Kamu Yönetiminde Cobit-5 Bilişim Yönetişiminin Kalkinma Ajanslari Özelinde Uygulanabilirliği. Yönetim Bilişim Sistemleri Dergisi, 1-26, http://dergipark.gov.tr/download/article-file/331323.
Ge, X., Richard F. Paige, F. A., Chivers, H., & Brooke, P. J. (2006). Agile development of secure web applications. Proceeding ICWE '06 Proceedings of the 6th international conference on Web engineering , (pp. 305-312 ). Palo Alto, California, USA .
Geer, D. (2010). Are Companies Actually Using Secure Development Life Cycles? Computer, Volume: 43 Issue: 6.Ghani, I., & Yasin, I. (2013). Software Security Engineering in Extreme Programming Methodology: A Sistematic Literature (pp. 215-221). Science International Volume.
Hossein Keramati, S.-H. M. (2008). Computer Systems and Applications. Integating Software Development Security Activities with Agile Methodologies (pp. 749-754). ACS/IEEE International Conference on Computer Systems and Applications.
Howard, H., & Lipner, S. (2006). The Security Development Lifecycle. Microsoft Press.
J. Wayrynen, M. B. (August 15-18, 2004). Security Engineering and Extreme Programmng and Agile Methods. Calgary, Canada.
Othmane, L., Weffers, H., Angin, P., & Bhargava, B. (2014). Extending the agile development process to develop acceptably secure software. IEEE Transactions on dependable and secure computing.
Ouslati, H., & M.M. Rahman, L. O. (n.d.). Literature Review of the Challenges of Developing Secure Software Using the Agile Approach.
Peeters, J. (2017). Secure Application Development. Retrieved from Agile Security Requirements Engineering: https://handouts.secappdev.org/handouts/2008/abuser%20stories.pdf
S. Bryan, S. (2010). Security Practices for Agile Development. MSDN Magazine.
Tondel, I. A., Jaatun, M. G., & Meland, P. H. (2008). Security Requirements for the Rest of Us: A Survey. IEEE Software.
Wayrynen, J., & M. Boden, G. B. (2004). Security. Engineering and Extreme Programming: An Impossible Marriage? (p. 117). In Proceedings of the 4th Conference on Extreme Programming and Agile Methods.
Wimmel, M. V., & Wisspeintner, A. (2002). Secure Systems Development Based on the Common Criteria: the palME Project. South Carolina, USA: Tenth ACM SIGSOFT Symposium.