DevSecOps: Implementación de seguridad en DevOps a través de herramientas open source

Abstract

En la última década se ha identificado un aumento en popularidad de DevOps como método de desarrollo de software. Este método se muestra como solución a las necesidades de los negocios donde se buscan ciclos de lanzamiento más cortos al igual que grandes cantidades de despliegues de aplicaciones o características hasta cientos de veces a la semana sin afectar la calidad. Sin embargo estos cambios generan la necesidad de evolucionar el entorno de seguridad tradicional hacia uno de mayor rapidez que esté en la misma linea de estas nuevas prácticas sin sacrificar su sentido per se de protección. Este trabajo presenta algunas herramientas Open Source que sirven como base para la automatización de controles de seguridad en las fases del desarrollo y despliegue del software. Entre estas herramientas están SAST, DAST, SCA, análisis de secretos, el endurecimiento de servidores, la verificación de imágenes de docker y la validación de la infraestructura como código. En este trabajo se obtiene un sistema operativo (SO) ejecutando Ubuntu 20.04 endurecido, se presenta también un pipeline que cumple con los criterios básicos de seguridad para una aplicación en nodejs. En esta misma línea se describen otras herramientas a utilizar según el tipo de lenguajes de programación. También se logra identificar que el pipeline creado depende del caso de uso, del lenguaje utilizado y objetivos empresariales. Finalmente, el trabajo futuro se enfoca en la creación de pipelines para aplicaciones serverless, la comparación de herramientas para almacenamiento y gestión de secretos, y la gestión unificada de amenazas y el alertamiento.

The last decade has seen a rise in popularity of DevOps as a software-development method. This method is shown as a solution to the needs of businesses where shorter release cycles are sought, as well as large numbers of application or feature deployments, which may be up to hundreds of times a week without affecting quality. However, these changes come with the need to evolve the traditional security environment towards one of greater speed that is in the same line of these new practices without sacrificing its protection. This work presents some Open-Source tools that serve as a basis for the automation of security checkpoints in the development and launching phases of the software. These tools include SAST, DAST, SCA, secret analysis, server hardening, docker image verification, and infrastructure-as-code validation. In this job, an operating system (OS) is obtained by running a hardened Ubuntu 20.04 server. A pipeline that meets the basic security criteria for an application in nodejs is also presented. Along the same line, other tools to be used according to the type of programming languages are described. It is also possible to identify that the use of the pipeline created depends on the use case, the language and the business goals. Ultimately, the future work focuses on creating pipelines for serverless-applications, comparing tools for secret storage and management, unified threat-management and alerting.

En l'última dècada s'ha identificat un augment en popularitat de devops com a mètode de desenvolupament de programari. Aquest mètode es mostra com a solució a les necessitats dels negocis on es busquen cicles de llançament més curts a l'igual que grans quantitats de desplegaments d'aplicacions o característiques fins a centenars de vegades a la setmana sense afectar la qualitat. No obstant això aquests canvis generen la necessitat d'evolucionar l'entorn de seguretat tradicional cap a un major rapidesa que estigui en la mateixa línia d'aquestes noves pràctiques sense sacrificar el seu sentit per se de protecció. Aquest treball presenta algunes eines Open Source que serveixen com a base per a l'automatització de controls de seguretat en les fases de desenvolupament i desplegament de programari. Entre aquestes eines estan SAST, DAST, SCA, anàlisi de secrets, l'enduriment de servidors, la verificació d'imatges de docker i la validació de la infraestructura com a codi. En aquest treball s'obté un sistema operatiu (SO) executant Ubuntu 20.04 endurit, es presenta també un pipeline que compleix amb els criteris bàsics de seguretat per a una aplicació en nodejs. En aquesta mateixa línia es descriuen altres eines a utilitzar segons el tipus de llenguatges de programació. També s'aconsegueix identificar que el pipeline creat depèn de el cas d'ús, del llenguatge utilitzat i objectius empresarials. Finalment, el treball futur s'enfoca en la creació de pipelines per a aplicacions serverless, la comparació d'eines per a emmagatzematge i gestió de secrets, i la gestió unificada d'amenaces i el alertamiento.