Título
Large scale agile software development compliant to IEC 62443-4-1: artefact design and tool support
Autor
Soares, Rafael Martins
Resumo
pt
Nos últimos anos houve um aumento considerável no uso de metodologias ágeis.
No entanto, a aplicação destas metodologias pode ser um desafio, em especial para
sistemas de controle industrial que têm a obrigação de obedecer a requisitos operacionais
rigorosos através de regulamentos e normas, e em particular no âmbito
da cibersegurança. Este trabalho propõe um conceito para uma integração estruturada
e sistemática de actividades de segurança num pipeline de DevOps, com o
intuito de alcançar ambas as capacidades de desenvolvimento ágil seguro e engenharia
de software ágil em conformidade com segurança. A base para este conceito
é a integração da norma IEC 62443-4-1 (4-1), que descreve o desenvolvimento seguro
de produtos em ambientes de controle industrial, com um especificação de
Continuous Integration/Continuous Delivery. Para alcançar isto, foi feito um mapeamento
de requisitos de segurança, de acordo com a descrição na norma 4-1,
numa especificação simples de DevOps. Como resultado, todas as actividades da
norma 4-1 foram analisadas e classificadas de acordo com a possibilidade de serem
automatizadas através de suporte de ferramentas. Para avaliar o trabalho, foram
realizadas entrevistas com profissionais especializados nas áreas de conformidade
em segurança de TI’s e engenharia de software ágil. Os resultados mostram evidências
sobre a possibilidade de fornecer suporte de ferramentas para a automatização
da norma IEC 62443-4-1 e para a especificação um pipeline de DevOps conforme
com a norma 4-1.
en
There has been a considerable increase in the use of agile methodologies over
the last years. However, applying these methodologies can be challenging, particularly
for industrial control systems that must obey to rigorous operational
requirements through regulations and standards, and in particular cybersecurity
requirements. The current work proposes a concept for a structured and systematic
integration of security activities into a DevOps pipeline, with the ambition of
pursuing the capability of both secure agile development and security compliant
agile software engineering. The basis for this concept is the integration of the IEC
62443-4-1 (4-1) standard, which describes secure product development in industrial
control systems, with a Continuous Integration/Continuous Delivery pipeline
specification. To achieve this, the security requirements, as described in the 4-1
standard, were mapped into a simple DevOps pipeline specification. As a result,
all of the 4-1 activities were analysed and classified according to the possibility of
being automated through tool support. Interviews with expert practitioners, from
the fields of security compliance and agile software engineering, were conducted to
evaluate the present work. Results have shown evidence about the possibility of
providing tool support for the IEC 62443-4-1 standard and to specify a DevOps
pipeline compliant to the 4-1 standard.