Investigación y evaluación de herramientas Open Source para escaneo de vulnerabilidades en el ciclo de vida de las aplicaciones, con el fin de ser integradas en los Pipelines en Azure del Grupo Éxito. Semestre de Industria.
RESUMEN : En el ciclo de vida del desarrollo de software del Grupo Éxito, se usaba una plataforma comercial para la identificación de vulnerabilidades de seguridad en el código mediante la ejecución de pruebas SAST, SCA y DAST. Sin embargo, dada la restructuración de la dirección de TI al inicio del...
- Autores:
-
Velez Cadavid, David Felipe
- Tipo de recurso:
- Trabajo de grado de pregrado
- Fecha de publicación:
- 2024
- Institución:
- Universidad de Antioquia
- Repositorio:
- Repositorio UdeA
- Idioma:
- spa
- OAI Identifier:
- oai:bibliotecadigital.udea.edu.co:10495/41459
- Acceso en línea:
- https://hdl.handle.net/10495/41459
- Palabra clave:
- Programas para computador
Computer programs
Desarrollo de programas para computador
Computer software - Development
Seguridad en computadores
Computer security
Eficiencia
Efficiency
- Rights
- openAccess
- License
- https://creativecommons.org/licenses/by-nc-nd/4.0/
| id |
UDEA2_9d7a8949137d3c106336886ba3f15c0b |
|---|---|
| oai_identifier_str |
oai:bibliotecadigital.udea.edu.co:10495/41459 |
| network_acronym_str |
UDEA2 |
| network_name_str |
Repositorio UdeA |
| repository_id_str |
|
| dc.title.spa.fl_str_mv |
Investigación y evaluación de herramientas Open Source para escaneo de vulnerabilidades en el ciclo de vida de las aplicaciones, con el fin de ser integradas en los Pipelines en Azure del Grupo Éxito. Semestre de Industria. |
| dc.title.translated.spa.fl_str_mv |
Research and evaluation of Open Source tools for vulnerability scanning in the lifecycle of applications, in order to be integrated into the Pipelines in Azure of the Éxito Group |
| title |
Investigación y evaluación de herramientas Open Source para escaneo de vulnerabilidades en el ciclo de vida de las aplicaciones, con el fin de ser integradas en los Pipelines en Azure del Grupo Éxito. Semestre de Industria. |
| spellingShingle |
Investigación y evaluación de herramientas Open Source para escaneo de vulnerabilidades en el ciclo de vida de las aplicaciones, con el fin de ser integradas en los Pipelines en Azure del Grupo Éxito. Semestre de Industria. Programas para computador Computer programs Desarrollo de programas para computador Computer software - Development Seguridad en computadores Computer security Eficiencia Efficiency |
| title_short |
Investigación y evaluación de herramientas Open Source para escaneo de vulnerabilidades en el ciclo de vida de las aplicaciones, con el fin de ser integradas en los Pipelines en Azure del Grupo Éxito. Semestre de Industria. |
| title_full |
Investigación y evaluación de herramientas Open Source para escaneo de vulnerabilidades en el ciclo de vida de las aplicaciones, con el fin de ser integradas en los Pipelines en Azure del Grupo Éxito. Semestre de Industria. |
| title_fullStr |
Investigación y evaluación de herramientas Open Source para escaneo de vulnerabilidades en el ciclo de vida de las aplicaciones, con el fin de ser integradas en los Pipelines en Azure del Grupo Éxito. Semestre de Industria. |
| title_full_unstemmed |
Investigación y evaluación de herramientas Open Source para escaneo de vulnerabilidades en el ciclo de vida de las aplicaciones, con el fin de ser integradas en los Pipelines en Azure del Grupo Éxito. Semestre de Industria. |
| title_sort |
Investigación y evaluación de herramientas Open Source para escaneo de vulnerabilidades en el ciclo de vida de las aplicaciones, con el fin de ser integradas en los Pipelines en Azure del Grupo Éxito. Semestre de Industria. |
| dc.creator.fl_str_mv |
Velez Cadavid, David Felipe |
| dc.contributor.advisor.none.fl_str_mv |
Isaza Ramírez, Sebastián Hincapié Zapata, Juan Fernando |
| dc.contributor.author.none.fl_str_mv |
Velez Cadavid, David Felipe |
| dc.subject.lemb.none.fl_str_mv |
Programas para computador Computer programs Desarrollo de programas para computador Computer software - Development Seguridad en computadores Computer security Eficiencia Efficiency |
| topic |
Programas para computador Computer programs Desarrollo de programas para computador Computer software - Development Seguridad en computadores Computer security Eficiencia Efficiency |
| description |
RESUMEN : En el ciclo de vida del desarrollo de software del Grupo Éxito, se usaba una plataforma comercial para la identificación de vulnerabilidades de seguridad en el código mediante la ejecución de pruebas SAST, SCA y DAST. Sin embargo, dada la restructuración de la dirección de TI al inicio del año 2024, se redirigió la atención hacia herramientas open source para la optimización de recursos. En este nuevo enfoque, la mayoría de los procesos de TI se debían llevar a un entorno automatizado de integración y despliegue continuo CI/CD, como parte de una estrategia para centralizar el desarrollo de software con una infraestructura definida como código en pipelines de Azure DevOps. En función de cumplir con estos requerimientos se propuso investigar e implementar herramientas open source en los pipelines de CI para reemplazar la plataforma comercial. Para ello, se hizo la evaluación de los reportes que arrojaban algunas herramientas tras la inspección de repositorios deliberadamente vulnerables, a fin de elegir las que cumplieran con los criterios de aceptación e indicadores de rendimiento favorables. Las herramientas seleccionadas permitieron cubrir pruebas de seguridad del código fuente SAST y análisis de composición de software SCA, generando el rompimiento del pipeline de forma automática ante hallazgos con severidad mayor a los umbrales definidos. En conclusión, estas herramientas generaron un impacto positivo en la compañía en relación con el ahorro de recursos, automatización de pruebas y autonomía en el control de las herramientas. |
| publishDate |
2024 |
| dc.date.accessioned.none.fl_str_mv |
2024-08-26T16:42:52Z |
| dc.date.available.none.fl_str_mv |
2024-08-26T16:42:52Z |
| dc.date.issued.none.fl_str_mv |
2024 |
| dc.type.spa.fl_str_mv |
Tesis/Trabajo de grado - Monografía - Pregrado |
| dc.type.coar.spa.fl_str_mv |
http://purl.org/coar/resource_type/c_7a1f |
| dc.type.redcol.spa.fl_str_mv |
https://purl.org/redcol/resource_type/TP |
| dc.type.coarversion.spa.fl_str_mv |
http://purl.org/coar/version/c_b1a7d7d4d402bcce |
| dc.type.driver.spa.fl_str_mv |
info:eu-repo/semantics/bachelorThesis |
| dc.type.version.spa.fl_str_mv |
info:eu-repo/semantics/draft |
| format |
http://purl.org/coar/resource_type/c_7a1f |
| status_str |
draft |
| dc.identifier.uri.none.fl_str_mv |
https://hdl.handle.net/10495/41459 |
| url |
https://hdl.handle.net/10495/41459 |
| dc.language.iso.spa.fl_str_mv |
spa |
| language |
spa |
| dc.rights.uri.spa.fl_str_mv |
https://creativecommons.org/licenses/by-nc-nd/4.0/ |
| dc.rights.uri.*.fl_str_mv |
http://creativecommons.org/licenses/by-nc-nd/2.5/co/ |
| dc.rights.accessrights.spa.fl_str_mv |
info:eu-repo/semantics/openAccess |
| dc.rights.coar.spa.fl_str_mv |
http://purl.org/coar/access_right/c_abf2 |
| rights_invalid_str_mv |
https://creativecommons.org/licenses/by-nc-nd/4.0/ http://creativecommons.org/licenses/by-nc-nd/2.5/co/ http://purl.org/coar/access_right/c_abf2 |
| eu_rights_str_mv |
openAccess |
| dc.format.extent.spa.fl_str_mv |
64 páginas |
| dc.format.mimetype.spa.fl_str_mv |
application/pdf |
| dc.publisher.spa.fl_str_mv |
Universidad de Antioquia |
| dc.publisher.place.spa.fl_str_mv |
Medellín, Colombia |
| dc.publisher.faculty.spa.fl_str_mv |
Facultad de Ingeniería. Ingeniería Electrónica |
| institution |
Universidad de Antioquia |
| bitstream.url.fl_str_mv |
https://bibliotecadigital.udea.edu.co/bitstreams/be5b575d-e737-480a-9c52-497e46bc38ec/download https://bibliotecadigital.udea.edu.co/bitstreams/aceab1f4-6d2e-4490-ad7f-426de97505e7/download https://bibliotecadigital.udea.edu.co/bitstreams/ec7798dc-faf6-4a78-8f6f-3b4ff69704db/download https://bibliotecadigital.udea.edu.co/bitstreams/4dd7ad2b-1eab-4a6f-8ed1-a7977c4cb64a/download https://bibliotecadigital.udea.edu.co/bitstreams/c34af2b2-1ebf-40e4-8d3c-01d9608dcca0/download |
| bitstream.checksum.fl_str_mv |
b88b088d9957e670ce3b3fbe2eedbc13 c8b5fe4b4322a8a1740d792ae367a049 8a4605be74aa9ea9d79846c1fba20a33 d3f99776f78c37f71ff08f4c0614a704 0f07e46ed7a9188386f8f458e43612b1 |
| bitstream.checksumAlgorithm.fl_str_mv |
MD5 MD5 MD5 MD5 MD5 |
| repository.name.fl_str_mv |
Repositorio Institucional de la Universidad de Antioquia |
| repository.mail.fl_str_mv |
aplicacionbibliotecadigitalbiblioteca@udea.edu.co |
| _version_ |
1851052348914270208 |
| spelling |
Isaza Ramírez, SebastiánHincapié Zapata, Juan FernandoVelez Cadavid, David Felipe2024-08-26T16:42:52Z2024-08-26T16:42:52Z2024https://hdl.handle.net/10495/41459RESUMEN : En el ciclo de vida del desarrollo de software del Grupo Éxito, se usaba una plataforma comercial para la identificación de vulnerabilidades de seguridad en el código mediante la ejecución de pruebas SAST, SCA y DAST. Sin embargo, dada la restructuración de la dirección de TI al inicio del año 2024, se redirigió la atención hacia herramientas open source para la optimización de recursos. En este nuevo enfoque, la mayoría de los procesos de TI se debían llevar a un entorno automatizado de integración y despliegue continuo CI/CD, como parte de una estrategia para centralizar el desarrollo de software con una infraestructura definida como código en pipelines de Azure DevOps. En función de cumplir con estos requerimientos se propuso investigar e implementar herramientas open source en los pipelines de CI para reemplazar la plataforma comercial. Para ello, se hizo la evaluación de los reportes que arrojaban algunas herramientas tras la inspección de repositorios deliberadamente vulnerables, a fin de elegir las que cumplieran con los criterios de aceptación e indicadores de rendimiento favorables. Las herramientas seleccionadas permitieron cubrir pruebas de seguridad del código fuente SAST y análisis de composición de software SCA, generando el rompimiento del pipeline de forma automática ante hallazgos con severidad mayor a los umbrales definidos. En conclusión, estas herramientas generaron un impacto positivo en la compañía en relación con el ahorro de recursos, automatización de pruebas y autonomía en el control de las herramientas.ABSTRACT : In the software development life cycle of Grupo Éxito, a commercial platform was used to identify security vulnerabilities in the code through the execution of SAST, SCA and DAST tests. However, given the restructuring of IT management at the beginning of 2024, attention was redirected towards open source tools for resource optimization. In this new approach, most IT processes were to be brought into an automated CI/CD continuous integration and deployment environment, as part of a strategy to centralize software development with an infrastructure defined as code in Azure DevOps pipelines. In order to meet these requirements, it was proposed to investigate and implement open source tools in CI pipelines to replace the commercial platform. To do so, we evaluated the reports of some tools after inspection of deliberately vulnerable repositories, in order to choose the ones that met the acceptance criteria and favorable performance indicators. The selected tools allowed to cover SAST source code security testing and SCA software composition analysis, generating the pipeline break automatically in case of findings with severity greater than the defined thresholds. In conclusion, these tools generated a positive impact on the company in terms of resource savings, test automation and autonomy in the control of the tools.PregradoIngeniero Electrónico64 páginasapplication/pdfspaUniversidad de AntioquiaMedellín, ColombiaFacultad de Ingeniería. Ingeniería Electrónicahttps://creativecommons.org/licenses/by-nc-nd/4.0/http://creativecommons.org/licenses/by-nc-nd/2.5/co/info:eu-repo/semantics/openAccesshttp://purl.org/coar/access_right/c_abf2Investigación y evaluación de herramientas Open Source para escaneo de vulnerabilidades en el ciclo de vida de las aplicaciones, con el fin de ser integradas en los Pipelines en Azure del Grupo Éxito. Semestre de Industria.Research and evaluation of Open Source tools for vulnerability scanning in the lifecycle of applications, in order to be integrated into the Pipelines in Azure of the Éxito GroupTesis/Trabajo de grado - Monografía - Pregradohttp://purl.org/coar/resource_type/c_7a1fhttps://purl.org/redcol/resource_type/TPhttp://purl.org/coar/version/c_b1a7d7d4d402bcceinfo:eu-repo/semantics/bachelorThesisinfo:eu-repo/semantics/draftProgramas para computadorComputer programsDesarrollo de programas para computadorComputer software - DevelopmentSeguridad en computadoresComputer securityEficienciaEfficiencyPublicationCC-LICENSElicense_rdflicense_rdfapplication/rdf+xml; charset=utf-8823https://bibliotecadigital.udea.edu.co/bitstreams/be5b575d-e737-480a-9c52-497e46bc38ec/downloadb88b088d9957e670ce3b3fbe2eedbc13MD53falseAnonymousREADORIGINALVelezDavid_2024_HerramientasEscaneoVulnerabilidades.pdfVelezDavid_2024_HerramientasEscaneoVulnerabilidades.pdfTrabajo de grado de pregradoapplication/pdf3091412https://bibliotecadigital.udea.edu.co/bitstreams/aceab1f4-6d2e-4490-ad7f-426de97505e7/downloadc8b5fe4b4322a8a1740d792ae367a049MD52trueAnonymousREADLICENSElicense.txtlicense.txttext/plain; charset=utf-81748https://bibliotecadigital.udea.edu.co/bitstreams/ec7798dc-faf6-4a78-8f6f-3b4ff69704db/download8a4605be74aa9ea9d79846c1fba20a33MD54falseAnonymousREADTEXTVelezDavid_2024_HerramientasEscaneoVulnerabilidades.pdf.txtVelezDavid_2024_HerramientasEscaneoVulnerabilidades.pdf.txtExtracted texttext/plain101189https://bibliotecadigital.udea.edu.co/bitstreams/4dd7ad2b-1eab-4a6f-8ed1-a7977c4cb64a/downloadd3f99776f78c37f71ff08f4c0614a704MD55falseAnonymousREADTHUMBNAILVelezDavid_2024_HerramientasEscaneoVulnerabilidades.pdf.jpgVelezDavid_2024_HerramientasEscaneoVulnerabilidades.pdf.jpgGenerated Thumbnailimage/jpeg6854https://bibliotecadigital.udea.edu.co/bitstreams/c34af2b2-1ebf-40e4-8d3c-01d9608dcca0/download0f07e46ed7a9188386f8f458e43612b1MD56falseAnonymousREAD10495/41459oai:bibliotecadigital.udea.edu.co:10495/414592025-03-26 20:57:21.113https://creativecommons.org/licenses/by-nc-nd/4.0/open.accesshttps://bibliotecadigital.udea.edu.coRepositorio Institucional de la Universidad de Antioquiaaplicacionbibliotecadigitalbiblioteca@udea.edu.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 |