DevSecOps: integración de la seguridad en entornos CI/CD
La cultura DevOps y las metodologías de desarrollo ágiles han mejorado el flujo de desarrollo del software, permitiendo la implementación de nuevas funcionalidades en menor tiempo, un aspecto fundamental para destacar en el mercado frente al resto de aplicaciones. Sin embargo, muchas veces se ha sac...
| Autor: | |
|---|---|
| Tipo de recurso: | tesis de maestría |
| Fecha de publicación: | 2021 |
| País: | España |
| Institución: | Universitat Oberta de Catalunya (UOC) |
| Repositorio: | O2, repositorio institucional de la UOC |
| OAI Identifier: | oai:openaccess.uoc.edu:10609/132367 |
| Acceso en línea: | http://hdl.handle.net/10609/132367 |
| Access Level: | acceso abierto |
| Palabra clave: | seguridad DevSecOps CI/CD seguretat security Computer security -- TFM Seguretat informàtica -- TFM Seguridad informática -- TFM |
| Sumario: | La cultura DevOps y las metodologías de desarrollo ágiles han mejorado el flujo de desarrollo del software, permitiendo la implementación de nuevas funcionalidades en menor tiempo, un aspecto fundamental para destacar en el mercado frente al resto de aplicaciones. Sin embargo, muchas veces se ha sacrificado la seguridad del software desarrollado, por considerarla un freno para la implementación de nuevas características. La necesidad de contemplar la seguridad en la cultura DevOps, manteniendo la agilidad del ciclo de desarrollo ha dado lugar a DevSecOps. El objetivo de este trabajo es automatizar la seguridad en el ciclo de desarrollo del software siguiendo la cultura DevSecOps. Para esto, se ha llevado a cabo un estudio de los servidores de integración continua y de las herramientas de automatización de seguridad existentes. Se ha utilizado GitHub Actions para desarrollar una pipeline de integración continua en la que se han incluido diferentes pruebas de seguridad, entre ellas el escaneo de secretos, análisis de composición del código (SCA), pruebas de seguridad estáticas (SAST), pruebas de seguridad dinámicas (DAST) y pruebas de seguridad de la infraestructura. A pesar de las limitaciones que presenta este trabajo, relativas a la ausencia de presupuesto y a no poder probar el producto en un entorno real, los resultados son útiles para entender la cultura DevSecOps y su aplicación en el entorno empresarial. Investigaciones futuras deberían optimizar el rendimiento del producto obtenido además de incluir herramientas de gestión de logs y monitorización, con el fin de controlar el funcionamiento del software en producción. |
|---|