DevSecOps: integración de herramientas SAST, DAST y de análisis de Dockers en un sistema de integración continua

Este trabajo nace del creciente aumento en popularidad de DevSecOps. DevSecOps integra la seguridad en el proceso DevOps. El objetivo principal de este trabajo es la automatización de los controles de seguridad en ciertas fases del desarrollo software. En concreto, en este trabajo se automatizarán:...

Descripción completa

Detalles Bibliográficos
Autor: Caño Quintero, José Joaquín
Tipo de recurso: tesis de maestría
Fecha de publicación:2019
País:España
Institución:Universitat Oberta de Catalunya (UOC)
Repositorio:O2, repositorio institucional de la UOC
OAI Identifier:oai:openaccess.uoc.edu:10609/95987
Acceso en línea:http://hdl.handle.net/10609/95987
Access Level:acceso abierto
Palabra clave:automatización
DevSecOps
seguridad informática
automation
computer security
automatització
seguretat informàtica
Computer security -- TFM
Seguretat informàtica -- TFM
Seguridad informática -- TFM
Descripción
Sumario:Este trabajo nace del creciente aumento en popularidad de DevSecOps. DevSecOps integra la seguridad en el proceso DevOps. El objetivo principal de este trabajo es la automatización de los controles de seguridad en ciertas fases del desarrollo software. En concreto, en este trabajo se automatizarán: Las pruebas estáticas de seguridad (SAST) mediante controles de calidad del software y la comprobación de vulnerabilidades en las dependencias. Las pruebas dinámicas de seguridad (DAST) mediante el análisis dinámico de una aplicación web. La seguridad en la infraestructura mediante el análisis de las vulnerabilidades CVE de las imágenes Dockers. Para ello en este trabajo se han desarrollado tres proyectos independientes en Jenkins que automatizan cada una de los controles anteriores y permiten conocer tanto la calidad del software como las vulnerabilidades en las dependencias, aplicaciones y en la infraestructura. En este proyecto se realiza un uso extenso de Dockers, desde la utilización del Docker de Jenkins hasta el uso de las imágenes Dockers de las diferentes herramientas integradas.