Investigación y evaluación de herramientas Open Source para escaneo de vulnerabilidades en el ciclo de vida de las aplicaciones, con el fin de ser integradas en los Pipelines en Azure del Grupo Éxito. Semestre de Industria.
RESUMEN : En el ciclo de vida del desarrollo de software del Grupo Éxito, se usaba una plataforma comercial para la identificación de vulnerabilidades de seguridad en el código mediante la ejecución de pruebas SAST, SCA y DAST. Sin embargo, dada la restructuración de la dirección de TI al inicio del...
- Autores:
-
Velez Cadavid, David Felipe
- Tipo de recurso:
- Trabajo de grado de pregrado
- Fecha de publicación:
- 2024
- Institución:
- Universidad de Antioquia
- Repositorio:
- Repositorio UdeA
- Idioma:
- spa
- OAI Identifier:
- oai:bibliotecadigital.udea.edu.co:10495/41459
- Acceso en línea:
- https://hdl.handle.net/10495/41459
- Palabra clave:
- Programas para computador
Computer programs
Desarrollo de programas para computador
Computer software - Development
Seguridad en computadores
Computer security
Eficiencia
Efficiency
- Rights
- openAccess
- License
- https://creativecommons.org/licenses/by-nc-nd/4.0/
| Summary: | RESUMEN : En el ciclo de vida del desarrollo de software del Grupo Éxito, se usaba una plataforma comercial para la identificación de vulnerabilidades de seguridad en el código mediante la ejecución de pruebas SAST, SCA y DAST. Sin embargo, dada la restructuración de la dirección de TI al inicio del año 2024, se redirigió la atención hacia herramientas open source para la optimización de recursos. En este nuevo enfoque, la mayoría de los procesos de TI se debían llevar a un entorno automatizado de integración y despliegue continuo CI/CD, como parte de una estrategia para centralizar el desarrollo de software con una infraestructura definida como código en pipelines de Azure DevOps. En función de cumplir con estos requerimientos se propuso investigar e implementar herramientas open source en los pipelines de CI para reemplazar la plataforma comercial. Para ello, se hizo la evaluación de los reportes que arrojaban algunas herramientas tras la inspección de repositorios deliberadamente vulnerables, a fin de elegir las que cumplieran con los criterios de aceptación e indicadores de rendimiento favorables. Las herramientas seleccionadas permitieron cubrir pruebas de seguridad del código fuente SAST y análisis de composición de software SCA, generando el rompimiento del pipeline de forma automática ante hallazgos con severidad mayor a los umbrales definidos. En conclusión, estas herramientas generaron un impacto positivo en la compañía en relación con el ahorro de recursos, automatización de pruebas y autonomía en el control de las herramientas. |
|---|