Desarrollo seguro de software bajo la metodología DevSecOps

Abstract

La finalidad de este trabajo es entender cómo la seguridad de la información ha irrumpido en el diseño de las aplicaciones para generar un nuevo paradigma, dando lugar a nuevas metodologías que se basan en el security by design, el cual, permite poner a prueba la seguridad del software durante su desarrollo y posterior lanzamiento. Algunas de estas metodologías son OWASP u OASAM, pero este trabajo se centra en el desarrollo de DevSecOps. Trata de un método ágil que integra de manera natural el entorno seguro y buenas prácticas durante el ciclo de vida de las diferentes aplicaciones. Esta nueva metodología deja atrás las obsoletas prácticas de seguridad que forman parte del pasado. La metodología ágil se sigue en este proyecto. Se ha dividido en partes más pequeñas, en las que se van trabajando poco a poco, mientras se realiza una labor de investigación. Cada parte se puede modificar o ampliar según avanza el proyecto, transformándose en un proceso circular. Se ha conseguido plasmar los puntos más importantes para alcanzar la comprensión adecuada de los temas tratados, junto a la puesta en práctica de algunas herramientas. La seguridad se deja de lado en los desarrollos más de lo que se piensa, por ello, se debe introducir la filosofía de desarrollo seguro como forma de trabajo.

The purpose of this work is to understand how computer security has had a strong impact into the field of application design to generate a new paradigm, providing new methodologies based on "security by design", which allows testing software security during its development and subsequent launch. Some of these methods are called OWASP or OASAM, but the work is mainly focused on DevSecOps development, which is an Agile Method that integrates the safe environment and good practices during the different applications´ life. This new method leaves behind the obsolete security practices. The agile methodology is the one highlighted in this project, since it has split into smaller parts, which are worked, little by little, while doing research. Each part can be modified or expanded as the project progresses, becoming a circular process. We have been able to capture the most important points to achieve an adequate understanding of the topics covered, as well as the implementation of some tools. Security is often neglected in developments more than we think, therefore the philosophy of secure development should be introduced as the main way of working.

La finalitat d'aquest treball és entendre com la seguretat de la informació ha irromput en el disseny de les aplicacions per a generar un nou paradigma, donant lloc a noves metodologies que es basen en el security by design, el qual, permet posar a prova la seguretat del programari durant el seu desenvolupament i posterior llançament. Algunes d'aquestes metodologies són OWASP o OASAM, però aquest treball se centra en el desenvolupament de DevSecOps. Tracta d'un mètode àgil que integra de manera natural l'entorn segur i bones pràctiques durant el cicle de vida de les diferents aplicacions. Aquesta nova metodologia deixa enrere les obsoletes pràctiques de seguretat que formen part del passat. La metodologia àgil se segueix en aquest projecte. S'ha dividit en parts més petites, en les quals es van treballant a poc a poc, mentre es realitza una labor de recerca. Cada part es pot modificar o ampliar segons avança el projecte, transformant-se en un procés circular. S'ha aconseguit plasmar els punts més importants per a aconseguir la comprensió adequada dels temes tractats, al costat de la posada en pràctica d'algunes eines. La seguretat es deixa de costat en els desenvolupaments més del que es pensa, per això, s'ha d'introduir la filosofia de desenvolupament segur com a forma de treball.