Tietoturva mobiilisovelluksen kehitysprosessissa
Laaksonen, Juho (2020)
Laaksonen, Juho
2020
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202005128596
https://urn.fi/URN:NBN:fi:amk-202005128596
Tiivistelmä
Tietoturvan varmistaminen on tärkeä osa modernia sovelluskehitystä. Tiedonhallintaa säätelevät erilaiset lait ja asetukset, joista sovelluskehittäjien ja projektissa tai hankkeessa olevien henkilöiden kuuluu olla tietoisia jokaisessa projektin vaiheessa. Riittävän tietoturvatason saavuttaminen vaatii resurssien käyttöä niin kehityksessä kuin organisaatiotasolla, koska sovellus on yhtä vahva kuin sen heikoin lenkki.
Opinnäytetyössä tutkittiin tietoturvaohjeita julkisen hallinnon ja yksityisten toimijoiden näkökulmasta. Tämän lisäksi selvitettiin lainsäädännön vaikutusta sovelluskehityksen tietoturvaan. Selvitystyön tuloksien avulla on mietitty miten parantaa sovelluskehityksessä luotavaa sovellusta.
Opinnäytetyön tarkoituksena oli kerätä teoriaa tietoturvallisesta sovelluskehityksestä, selventää kehitysprosessin vaiheita ja kartoittaa Diginavi-hankkeeseen luodun Digihelppari-sovelluksen tietoturvaa. Diginavi-hankkeessa luodaan uudenlainen tuotantoympäristö, sekä ekosysteemi järjestölähtöisiä digitaalisia työkaluja varten ja tuotetaan kaksi ensimmäistä sovellusta yhteistyössä Turun ammattikorkeakoulun projektioppimisympäristön kanssa. Kerätyn tiedon perusteella koottiin turvallisen sovelluskehityksen kulmakiviä, joiden pohjalta luotiin uhkamallinnus, ja mallinnuksen perusteella muodostettiin parannusehdotuksia Digihelpparia varten. Tuloksena saatiin käyttöliittymälle, rajapinnalle ja tietokannalle priorisointi tarvittavista toimenpiteistä tietoturvan turvaamista varten. Painopisteenä korostuvat sovelluskehityksessä arkaluontoisen tiedon salaaminen, tiedonsiirtoon käytettyjen yhteyksien suojaaminen sekä tiedon riittävä validointi lähteistä, joihin ei voida luottaa. Confirmation of data security is an important part of modern software development. Different laws and decrees regulate information management and the developers and those involved in a project must be aware of their effects during the whole process of the project. For reaching acceptable security levels, resources must be used during the development and on an organisational level to secure data, since the complete product is as strong as the weakest link in the chain.
The instructions of the public and private sector for information security were studied in the thesis. Also the effects of the legislation were taken into consideration in the software development and its process. Researched information was used to enhance information security in software development.
The main objective for the thesis was to collect theory about secure software development, clarify the stages of software development and the software development process as a whole, and research possible security issues of the Digihelppari application that was developed in the Diginavi project. The Diginavi project aimed to create a new production environment and an ecosystem for creating digital tools for organizations. After that, the first two applications would be made in collaboration with the project learning environment theFirma of Turku University of Applied Sciences. The corner stones of a safe and secure application development were compiled based on the collected information and this was used for the threat modeling of the application. From the threat modeling, a list of actions was compiled, and these actions should be taken into consideration when continuing with the development of the user interface, the application programming interface and the database. The focus should be on encrypting the delicate information, securing connections used in data transfer and validating information from untrusted sources.
Opinnäytetyössä tutkittiin tietoturvaohjeita julkisen hallinnon ja yksityisten toimijoiden näkökulmasta. Tämän lisäksi selvitettiin lainsäädännön vaikutusta sovelluskehityksen tietoturvaan. Selvitystyön tuloksien avulla on mietitty miten parantaa sovelluskehityksessä luotavaa sovellusta.
Opinnäytetyön tarkoituksena oli kerätä teoriaa tietoturvallisesta sovelluskehityksestä, selventää kehitysprosessin vaiheita ja kartoittaa Diginavi-hankkeeseen luodun Digihelppari-sovelluksen tietoturvaa. Diginavi-hankkeessa luodaan uudenlainen tuotantoympäristö, sekä ekosysteemi järjestölähtöisiä digitaalisia työkaluja varten ja tuotetaan kaksi ensimmäistä sovellusta yhteistyössä Turun ammattikorkeakoulun projektioppimisympäristön kanssa. Kerätyn tiedon perusteella koottiin turvallisen sovelluskehityksen kulmakiviä, joiden pohjalta luotiin uhkamallinnus, ja mallinnuksen perusteella muodostettiin parannusehdotuksia Digihelpparia varten. Tuloksena saatiin käyttöliittymälle, rajapinnalle ja tietokannalle priorisointi tarvittavista toimenpiteistä tietoturvan turvaamista varten. Painopisteenä korostuvat sovelluskehityksessä arkaluontoisen tiedon salaaminen, tiedonsiirtoon käytettyjen yhteyksien suojaaminen sekä tiedon riittävä validointi lähteistä, joihin ei voida luottaa.
The instructions of the public and private sector for information security were studied in the thesis. Also the effects of the legislation were taken into consideration in the software development and its process. Researched information was used to enhance information security in software development.
The main objective for the thesis was to collect theory about secure software development, clarify the stages of software development and the software development process as a whole, and research possible security issues of the Digihelppari application that was developed in the Diginavi project. The Diginavi project aimed to create a new production environment and an ecosystem for creating digital tools for organizations. After that, the first two applications would be made in collaboration with the project learning environment theFirma of Turku University of Applied Sciences. The corner stones of a safe and secure application development were compiled based on the collected information and this was used for the threat modeling of the application. From the threat modeling, a list of actions was compiled, and these actions should be taken into consideration when continuing with the development of the user interface, the application programming interface and the database. The focus should be on encrypting the delicate information, securing connections used in data transfer and validating information from untrusted sources.