1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Вісник ТНТУ
  3. 2025
  4. Вісник ТНТУ, 2025, № 4 (120)
霂瑞霂��撘����迨��辣: http://elartu.tntu.edu.ua/handle/lib/51958

Title: Applying the safe methodology to integrate cybersecurity in large-scale IT projects
Other Titles: Застосування методології safe для інтеграції кібербезпеки у великомасштабних IT-проєктах
Authors: Стадник, Марія Андріївна
Stadnyk, Mariia
Affiliation: Тернопільський національний технічний університет імені Івана Пулюя, Тернопіль, Україна
Ternopil Ivan Puluj National Technical University, Ternopil, Ukraine
Bibliographic description (Ukraine): Stadnyk M. Applying the safe methodology to integrate cybersecurity in large-scale IT projects / Mariia Stadnyk // Scientific Journal of TNTU. — Tern. : TNTU, 2025. — Vol 120. — No 4. — P. 99–109.
Bibliographic reference (2015): Stadnyk M. Applying the safe methodology to integrate cybersecurity in large-scale IT projects // Scientific Journal of TNTU, Ternopil. 2025. Vol 120. No 4. P. 99–109.
Bibliographic citation (APA): Stadnyk, M. (2025). Applying the safe methodology to integrate cybersecurity in large-scale IT projects. Scientific Journal of the Ternopil National Technical University, 120(4), 99-109. TNTU..
Bibliographic citation (CHICAGO): Stadnyk M. (2025) Applying the safe methodology to integrate cybersecurity in large-scale IT projects. Scientific Journal of the Ternopil National Technical University (Tern.), vol. 120, no 4, pp. 99-109.
Is part of: Вісник Тернопільського національного технічного університету, 4 (120), 2025
Scientific Journal of the Ternopil National Technical University, 4 (120), 2025
Journal/Collection: Вісник Тернопільського національного технічного університету
Issue: 4
Volume: 120
Issue Date: 23-十二月-2025
Submitted date: 1-九月-2025
Date of entry: 23-三月-2026
Publisher: ТНТУ
TNTU
Place of the edition/event: Тернопіль
Ternopil
DOI: https://doi.org/10.33108/visnyk_tntu2025.04. 099
UDC: 004.056.55
004.4.233
Keywords: Agile
SAFe
кібербезпека
DevSecOps
Built-In Quality
Agile
SAFe
cybersecurity
DevSecOps
Built-In Quality
Number of pages: 11
Page range: 99-109
Start page: 99
End page: 109
Abstract: Здійснено всебічний аналіз особливостей поєднання кібербезпекових практик із методологією Scaled Agile Framework (SAFe), що розглядається як цілісний механізм захисту великомасштабних ІТ-рішень. Показано, як упровадження компонентів DevSecOps – таких, як статичне й динамічне тестування безпеки (SAST і DAST), аналіз програмних залежностей (SCA), сканування контейнерних середовищ та контроль конфігурацій – забезпечує підвищення безпечності процесів Continuous Delivery та сприяє своєчасному виявленню вразливостей. Окрема увага приділена оцінюванні можливостей сучасних методів моделювання загроз, зокрема STRIDE, PASTA, які дозволяють ідентифікувати критичні ризики ще під час формування архітектурних концепцій. Проведено комплексний аналіз інструментів, за допомогою яких SAFe інтегрує кібербезпеку на всіх рівнях організації. Розглянуто роль DevSecOps у забезпеченні безперервного сканування вразливостей у CI/CD- конвеєрі, оцінено значення моделювання загроз та Zero Trust-архітектури для раннього виявлення ризиків і посилення архітектурної стійкості. Детально проаналізовано застосування Security Backlogs, критеріїв Definition of Done, ролі Security Champions та механізмів нормативної відповідності. Окремо наведено узагальнювальну таблицю, що демонструє відповідність інструментів SAFe міжнародним стандартам кібербезпеки та їхнє застосування на різних рівнях SAFe. Підкреслено роль Security Champions у посиленні комунікації між технічними командами та експертами з кіберзахисту, що сприяє формуванню сталої культури безпеки в середині організації. Узагальнення результатів підтверджує, що SAFe створює повноцінну методологічну базу для вбудовування кібербезпеки на всіх рівнях управління та розроблення, що, у свою чергу, підвищує надійність, стійкість і якість ІТ-продуктів.
This study examines the integration of cybersecurity practices into the Scaled Agile Framework (SAFe) as a structured approach for securing large-scale IT projects. The research analyzes how DevSecOps activities–such as SAST, DAST, SCA, container scanning, and configuration control–enhance the security of the Continuous Delivery Pipeline by enabling continuous vulnerability detection and reducing human-factor risks. Threat modeling methods, including STRIDE, PASTA, and LINDDUN, are evaluated for their effectiveness in identifying security risks at early design stages and informing architectural decisions. The study also highlights the role of Zero Trust principles, Architecture Decision Records, and Security Enablers in ensuring resilient system architecture. Additional mechanisms, such as Security Backlog Items, enhanced Definition of Done criteria, and compliance tasks aligned with ISO/IEC 27001, GDPR, PCI DSS, and HIPAA, were shown to support regulatory adherence. The involvement of Security Champions significantly improves communication between development teams and security experts, fostering a stronger security culture. Overall, the findings demonstrate that SAFe provides a comprehensive foundation for integrating cybersecurity across organizational levels, thereby improving product reliability and operational resilience.
URI: http://elartu.tntu.edu.ua/handle/lib/51958
ISSN: 2522-4433
Copyright owner: © Тернопільський національний технічний університет імені Івана Пулюя, 2025
URL for reference material: https://cybersecurityventures.com/cybercrime-report/
https://www.gartner.com
https://digital.ai/resources/state-of-agile-report
https://cip.gov.ua
https://www.eset.com/int/security-report
https://itukraine.org.ua
https://www2.deloitte.com
https://doi.org/10.1109/ACCESS.2020.2968524
https://doi.org/10.48550/arXiv.2105.13404
https://www.withsecure.com/content/dam/withsecure/global/en/white-papers/using-safe-to-align-cyber-security-and-executive-goals.pdf
https://www.larksuite.com/en_us/static/docs/safe_cybersecurity.pdf
https://doi.org/10.1145/3453151
https://doi.org/10.1016/j.infsof.2020.106412
https://doi.org/10.1007/978-3-030-06019-0_18
https://doi.org/10.1007/978-3-031-07245-3_10
https://doi.org/10.48550/arXiv.2106.13353
https://www.devopsinstitute.com/wp-content/uploads/Continuous-Security.pdf
https://aisel.aisnet.org/cgi/viewcontent.cgi?article=1006&context=acis2019
https://doi.org/10.6028/NIST.SP.800-207
https://doi.org/10.1016/j.cose.2021.102357
https://doi.org/10.1109/ACCESS.2021.3054527
https://doi.org/10.1109/MSEC.2020.3014683
https://doi.org/10.33108/visnyk_tntu2022.02.054
References (International): 1. Cybersecurity Ventures (2023). 2023 Official Cybercrime Report: Cybersecurity market data, insights & statistics. https://cybersecurityventures.com/cybercrime-report/.
2. Gartner (2024). Gartner forecast: Security and risk management trends in agile and DevSecOps. Gartner Research. https://www.gartner.com.
3. VersionOne (2023). 17th Annual State of Agile Report. Digital.ai. https://digital.ai/resources/state-of-agile-report.
4. State Service of Special Communications and Information Protection of Ukraine (2024). Annual cybersecurity report of Ukraine 2022–2024. https://cip.gov.ua.
5. ESET (2024). ESET Threat Report 2024: Global trends in cyberattacks. ESET Research. https://www.eset.com/int/security-report.
6. IT Ukraine Association (2023). Ukrainian IT industry report: Outsourcing market overview and security compliance requirements. https://itukraine.org.ua.
7. Deloitte (2024). Deloitte Cyber Report 2024: Global challenges in integrating security into Agile and DevSecOps. Deloitte Insights. https://www2.deloitte.com.
8. Shahid J., Hameed M. K., Javed I. T., Qureshi K. N., Ali M., & Crespi N. (2020). Integrating security into agile software development processes. IEEE. https://doi.org/10.1109/ACCESS.2020.2968524
9. Moyon F., Mendez Fernandez D., Beckers K., Klepper S. (2021). How to integrate security compliance requirements with agile software engineering at scale? arXiv preprint arXiv:2105.13404. https://doi.org/10.48550/arXiv.2105.13404.
10. WithSecure (2022). Using SAFe to align cyber security and executive goals. https://www.withsecure.com/content/dam/withsecure/global/en/white-papers/using-safe-to-align-cyber-security-and-executive-goals.pdf.
11. LarkSuite (n.d.). Scaled Agile Framework (SAFe) for cybersecurity teams. https://www.larksuite.com/en_us/static/docs/safe_cybersecurity.pdf.
12. Aljuneidi A., et al. (2021). DevSecOps: Integrating security into DevOps. ACM Computing Surveys. https://doi.org/10.1145/3453151.
13. Kaur A., & Chatterjee I. (2020) Secure DevOps: A systematic literature review. Information and Software Technology, 130. https://doi.org/10.1016/j.infsof.2020.106412
14. Chehaba A., et al. (2019). Built-in security in agile projects: Challenges and solutions. Springer. https://doi.org/10.1007/978-3-030-06019-0_18.
15. Sabaliauskaite G., et al. (2022). Security activities in scaled agile: An empirical study. ICSOB Conference. https://doi.org/10.1007/978-3-031-07245-3_10.
16. Shostack A. (2021). Threat modeling in Agile and DevOps. Microsoft Research. https://doi.org/10.48550/arXiv.2106.13353.
17. DevOps Institute (2020). Continuous security: Automating secure software delivery. https://www.devopsinstitute.com/wp-content/uploads/Continuous-Security.pdf.
18. Bass J. M. (2019). Security challenges in large-scale agile development. ACIS 2019. https://aisel.aisnet.org/cgi/viewcontent.cgi?article=1006&context=acis2019.
19. National Institute of Standards and Technology (2020). Zero Trust Architecture (NIST SP 800-207). https://doi.org/10.6028/NIST.SP.800-207
20. Ali S., et al. (2021) Security-by-design: A comprehensive survey. Computers & Security, 111. https://doi.org/10.1016/j.cose.2021.102357.
21. Ahmad I., et al. (2021). Agile DevSecOps for cloud-native applications. IEEE. https://doi.org/10.1109/ACCESS.2021.3054527.
22. Martins R., et al. (2020). Security automation in CI/CD pipelines. Software Engineering Journal. https://doi.org/10.1109/MSEC.2020.3014683.
23 Stadnyk M., Palamar A. (2022). Project management features in the cybersecurity area. Scientific Journal of the Ternopil National Technical University, 2(106), 54–62. https://doi.org/10.33108/visnyk_tntu2022.02.054
Content type: Article
�蝷箔����:Вісник ТНТУ, 2025, № 4 (120)

��辣銝剔�﹝獢�:
獢�獢� ��膩 憭批���撘� 
TNTUSJ_2025v120n4_Stadnyk_M-Applying_the_safe_methodology_99-109.pdf2,99 MBAdobe PDF璉�閫�/撘��
TNTUSJ_2025v120n4_Stadnyk_M-Applying_the_safe_methodology_99-109__COVER.png1,33 MBimage/png璉�閫�/撘��
�蝷箸�辣摰蝥芸��


�DSpace銝剜�������★��������雿��.