Automatización de la seguridad en el desarrollo del SW

Abstract

Este Trabajo Fin de Máster aborda la integración de herramientas de análisis de seguridad de aplicaciones en un pipeline automatizado DevSecOps, con el objetivo de garantizar la identificación y mitigación temprana de vulnerabilidades durante el ciclo de desarrollo de software. El proyecto se centra en herramientas SAST y SCA, configuradas en un entorno CI/CD mediante GitHub Actions. La memoria documenta las etapas clave: investigación, selección de herramientas, diseño del entorno de laboratorio y configuración del pipeline. Se detalla cómo estas herramientas automatizan pruebas específicas en puntos críticos del flujo de desarrollo, mejorando la eficiencia en la detección de vulnerabilidades y facilitando la priorización de remediaciones. Adicionalmente, se realiza un análisis introductorio del OWASP Benchmark Project, y se identifican posibles líneas de evolución, como la integración de herramientas DAST e IAST. Entre las lecciones aprendidas, destacan la relevancia de la automatización, la importancia de adaptar las herramientas al flujo de trabajo del desarrollador y la necesidad de priorizar vulnerabilidades según el riesgo. Este proyecto contribuye al entendimiento práctico de DevSecOps y proporciona una base replicable para integrar seguridad en entornos de desarrollo modernos.