DevSecOps: integración de herramientas SAST, DAST y de análisis de Dockers en un sistema de integración continua

Abstract

Este trabajo nace del creciente aumento en popularidad de DevSecOps. DevSecOps integra la seguridad en el proceso DevOps. El objetivo principal de este trabajo es la automatización de los controles de seguridad en ciertas fases del desarrollo software. En concreto, en este trabajo se automatizarán: Las pruebas estáticas de seguridad (SAST) mediante controles de calidad del software y la comprobación de vulnerabilidades en las dependencias. Las pruebas dinámicas de seguridad (DAST) mediante el análisis dinámico de una aplicación web. La seguridad en la infraestructura mediante el análisis de las vulnerabilidades CVE de las imágenes Dockers. Para ello en este trabajo se han desarrollado tres proyectos independientes en Jenkins que automatizan cada una de los controles anteriores y permiten conocer tanto la calidad del software como las vulnerabilidades en las dependencias, aplicaciones y en la infraestructura. En este proyecto se realiza un uso extenso de Dockers, desde la utilización del Docker de Jenkins hasta el uso de las imágenes Dockers de las diferentes herramientas integradas.

This thesis emerge from the popularity increase of DevSecOps. DevSecOps integrates security in the DevOps process. The main objective of this thesis is the automation of security controls in certain phases of software development. To sum up, in this work will be automate: The static security tests (SAST) through software quality controls and dependency vulnerabilities checking. Dynamic security tests (DAST) through the dynamic analysis of a web application. Infrastructure security by analysing the CVE vulnerabilities of the Dockers images. To this aim, in this thesis have been developed three independent projects in Jenkins which automate each of the previous controls named and allow knowing both the quality of the software and the vulnerabilities in the dependencies, applications and in the infrastructure. In this thesis an extensive use of Dockers is made, from the use of Jenkins Docker to the use of the Dockers images of the different tools integrated.

Aquest treball neix del creixement de la popularitat de DevSecOps. DevSecOps integra la seguretat en el procés DevOps. L'objectiu principal d'aquest treball és l'automatització dels controls de seguretat i les cerques a l'hora del programari de desenvolupament. En concret, en aquest treball s'extrauen: les proves de seguretat (SAST) amb control de qualitat del programari i la comprovació de vulnerabilitats en les dependències. Les proves dinàmiques de seguretat (DAST) mitjançant l'anàlisi de l'aplicació web. La seguretat en la infraestructura mitjançant l'anàlisi de les vulnerabilitats CVE de les imatges Dockers. Per això, en aquest treball es desenvolupen tres projectes independents en Jenkins que automàtics cada un dels controls anteriors i que permetin conèixer la qualitat del programari com les vulnerabilitats en les dependències, aplicacions i infraestructures. En aquest projecte es fa un ús extensiu de Dockers des de la utilització del Docker de Jenkins fins a fer servir les imatges Dockers de les diferents eines integrades.