DevSecOps: integración de la seguridad en entornos CI/CD

Abstract

La cultura DevOps y las metodologías de desarrollo ágiles han mejorado el flujo de desarrollo del software, permitiendo la implementación de nuevas funcionalidades en menor tiempo, un aspecto fundamental para destacar en el mercado frente al resto de aplicaciones. Sin embargo, muchas veces se ha sacrificado la seguridad del software desarrollado, por considerarla un freno para la implementación de nuevas características. La necesidad de contemplar la seguridad en la cultura DevOps, manteniendo la agilidad del ciclo de desarrollo ha dado lugar a DevSecOps. El objetivo de este trabajo es automatizar la seguridad en el ciclo de desarrollo del software siguiendo la cultura DevSecOps. Para esto, se ha llevado a cabo un estudio de los servidores de integración continua y de las herramientas de automatización de seguridad existentes. Se ha utilizado GitHub Actions para desarrollar una pipeline de integración continua en la que se han incluido diferentes pruebas de seguridad, entre ellas el escaneo de secretos, análisis de composición del código (SCA), pruebas de seguridad estáticas (SAST), pruebas de seguridad dinámicas (DAST) y pruebas de seguridad de la infraestructura. A pesar de las limitaciones que presenta este trabajo, relativas a la ausencia de presupuesto y a no poder probar el producto en un entorno real, los resultados son útiles para entender la cultura DevSecOps y su aplicación en el entorno empresarial. Investigaciones futuras deberían optimizar el rendimiento del producto obtenido además de incluir herramientas de gestión de logs y monitorización, con el fin de controlar el funcionamiento del software en producción.

The DevOps culture and agile development methodologies have improved the software development flow, allowing the implementation of new functionalities in less time, a fundamental aspect to stand out in the market compared to other applications. However, the security of the developed software has often been sacrificed, because it has been considered a brake for the implementation of new features. The need to consider security in the DevOps culture while maintaining the agility of the development cycle has given rise to DevSecOps. The objective of this work is to automate security in the software development cycle following the DevSecOps culture. For this purpose, the project studies the existing continuous integration servers and security automation tools. GitHub Actions has been used to develop a continuous integration pipeline in which different security tests have been considered, including secrets scanning, Software Composition Analysis (SCA), Static Application Security Testing (SAST), Dynamic Application Security Testing (DAST), and infrastructure security testing. Despite the limitations of this work, related to the lack of budget and not being able to test the product in a real environment, the results are useful for understanding the DevSecOps culture and its application in the enterprise environment. Future research should optimize the performance of the product obtained and include log management and monitoring tools, in order to control the operation of the software in production.

La cultura devops i les metodologies de desenvolupament àgils han millorat el flux de desenvolupament de programari, permetent la implementació de noves funcionalitats en menor temps, un aspecte fonamental per destacar en el mercat enfront de la resta d'aplicacions. No obstant això, moltes vegades s'ha sacrificat la seguretat del programari desenvolupat, per considerar-la un fre per a la implementació de noves característiques. La necessitat de contemplar la seguretat en la cultura devops, mantenint l'agilitat de el cicle de desenvolupament ha donat lloc a DevSecOps. L'objectiu d'aquest treball és automatitzar la seguretat en el cicle de desenvolupament de programari seguint la cultura DevSecOps. Per això, s'ha dut a terme un estudi dels servidors d'integració contínua i de les eines d'automatització de seguretat existents. S'ha utilitzat GitHub Actions per desenvolupar una pipeline d'integració contínua en la qual s'han inclòs diferents proves de seguretat, entre elles l'escaneig de secrets, anàlisi de composició de el codi (SCA), proves de seguretat estàtiques (SAST), proves de seguretat dinàmiques (DAST) i proves de seguretat de la infraestructura. Tot i les limitacions que presenta aquest treball, relatives a l'absència de pressupost i a no poder provar el producte en un entorn real, els resultats són útils per a entendre la cultura DevSecOps i la seva aplicació en l'entorn empresarial. Investigacions futures haurien optimitzar el rendiment del producte obtingut més d'incloure eines de gestió de logs i monitorització, amb la finalitat de controlar el funcionament del programari en producció.