Security Architectural Decision Making: A Comparison of Research and Practice
Master thesis
Permanent lenke
https://hdl.handle.net/11250/3067841Utgivelsesdato
2023Metadata
Vis full innførselSamlinger
Beskrivelse
Full text not available
Sammendrag
I de siste årene har beslutninger knyttet til programvarearkitektur og arkitektursikkerhet innen programvareutvikling fått betydelig oppmerksomhet. Gitt dagens politiske klima, blir sikkerhet stadig mer relevant. Det eksisterer imidlertid få studier om forskningsstatus på arkitektoniske beslutninger, hvordan sikkerhet passer inn i disse, og dens implikasjoner.
Målet med denne studien er å studere fenomenet arkitektonisk beslutningstaking for programvaresikkerhet og å bygge bro mellom forskning og praksis ved å identifisere gap og likheter i dette domenet. Ulike forskningstilnærminger for beslutningstaking innen arkitektur har blitt syntetisert til anbefalte trinn for å gjennomføre sikkerhetsarkitektoniske beslutninger i organisasjoner. Forskningslitteraturen på arkitekturbeslutninger gir ofte metoder eller tilnærminger for å designe eller evaluere design av ulike kvalitetsegenskaper. Det er et avvik mellom beslutningsprosessene og metoder for å gi informasjon eller påvirkningsfaktorer.
En definisjon av hva praktikere anser som en sikker arkitektur er presentert basert på den kvantitative analysen av informasjon gitt av respondentene i denne studien. Funnene tyder på at sikkerhetsarkitektur er en delmengde av sikkerhets- og designbeslutninger, og må sees på en helhetlig måte, lik sikkerhet. Dessuten bør kravene til et sikkert system være drevet av strategiske forretningsmål, forankret i de øverste ledelsesnivåene ved å inkludere sikkerhetseksperter eller arkitekter i beslutningsprosessen.
Til slutt foreslås en tilnærming for å hjelpe utøvere med å ta informerte sikkerhetsarkitektoniske beslutninger og øke bevisstheten om prosesser og informasjon som må vurderes. For ytterligere å forene gapene mellom forskning og praksis anbefales det også flere mulige forskningsretninger.
Nøkkelord: Programvarearkitektur, sikkerhetsarkitektur, sikkerhetsarkitektoniske beslutninger, arkitektural beslutningstaking, programvaresikkerhet In recent years, software architectural decisions and secure architecture in software engineering have gained traction. Given the current political climate, security is becoming increasingly relevant. However, few studies exist on the state of research on architectural decisions, how security fits into these, and its implications.
The goal of this research is to study the phenomenon architectural decision-making for security and to bridge research and practice by identifying gaps and similarities in this domain. Various research approaches for architecture decision-making have been synthesized into recommended steps for conducting security architectural decisions in organizations. The research literature focused on architecture decisions often provides methods or approaches to design or evaluate designs of various quality attributes. There is a discrepancy between the processes of decision-making and methods to provide information or influencing factors.
A definition of what practitioners consider a secure architecture is presented based on the quantitative analysis of information provided by the respondents of this study. The findings suggest that security architecture is a subset of security and design decisions, and needs to be viewed in a holistic way, similar to security. Moreover, the requirements for a secure system should be driven by strategic business goals, anchored in the upper management levels by including security experts or architects in the decision-making process.
Lastly, An approach is proposed to help practitioners make informed security architectural decisions and raise awareness concerning processes and information to consider. To further unify the gaps between research and practice, several possible research directions are also recommended.
Keywords: Software architecture, security architecture, security architectural decisions, architectural decision-making, software security