DevSecOps - integração da segurança contínua em pipelines DevOps: um estudo de caso
Resumo
O DevOps busca integrar os mundos de desenvolvimento e operações, por meio de forte automatização nas fases de desenvolvimento e entrega o software. Apesar do DevOps não excluir a segurança, sua adoção é vista como um gargalo para o fluxo DevOps. O presente trabalho se propõe a demonstrar, por meio de um estudo de caso, o desenvolvimento de um pipeline DevOps e sua integração com a segurança contínua, alcançando assim um pipeline DevSecOps. Através da comparação entre os pipelines, contatou-se que ambos cumprem seus papéis de automatização, porém, o pipeline DevSecOps conseguiu impedir à entrega de uma aplicação vulnerável à produção, se mostrando como solução pertinente para o uso do DevOps de maneira segura e ágil.
Referências
Ahmed, A. (2019). DevSecOps: Enabling security by design in rapid software development. Master’s thesis.
Carter, K. (2017). Francois raynaud on DevSecOps. IEEE Software, 34(5):93–96.
CeArley, D., Burke, B., Searle, S., and Walker, M. J. (2016). Top 10 strategic technology trends for 2018. The Top, 10:1–246.
Danielecki, D. M. (2019). Security first approach in development of single-page application based on angular. Master’s thesis, University of Twente.
Ebert, C., Gallardo, G., Hernantes, J., and Serrano, N. (2016). DevOps. Ieee Software, 33(3):94–100.
Enterprise, H. P. (2016). Application security and DevOps. Technical report, Technical report, Hewlett Packard Enterprise.
Freitas, F. D. S. (2020). Application security in continuous delivery.
Handova, D. (2020). How does IAST fit into DevSecOps? [link]. (Accessed on 31/10/2021).
Helmet (2022). helmet - npm. https://www.npmjs.com/package/helmet. (Accessed on 05/28/2022).
Jetbrains (2021). O que é DevSecOps e qual seu papel no CD? — guia de ci/cd do teamcity. [link]. (Accessed on 04/23/2021).
Koskinen, A. (2019). DevSecOps: building security into the core of devops.
Leite, L., Rocha, C., Kon, F., Milojicic, D., and Meirelles, P. (2019). A survey of DevOps concepts and challenges. ACM Computing Surveys (CSUR), 52(6):1–35.
Microfocus (2022). What is DevSecOps? [link]. (Accessed on 05/28/2022).
Myrbakken, H. and Colomo-Palacios, R. (2017). DevSecOps: a multivocal literature review. In International Conference on Software Process Improvement and Capability Determination, pages 17–29. Springer.
Owasp (2021). Introdução ao OWASP Top 10 2021. https://owasp.org/Top10/pt_BR/. (Accessed on 10/13/2021).
Radware (2020). Radware research: The state of WEB application and API protection. Technical report.
Simpson, G. B. (2018). CI/CD software security automation. Technical report, Sandia National Lab.(SNL-NM), Albuquerque, NM (United States).
Carter, K. (2017). Francois raynaud on DevSecOps. IEEE Software, 34(5):93–96.
CeArley, D., Burke, B., Searle, S., and Walker, M. J. (2016). Top 10 strategic technology trends for 2018. The Top, 10:1–246.
Danielecki, D. M. (2019). Security first approach in development of single-page application based on angular. Master’s thesis, University of Twente.
Ebert, C., Gallardo, G., Hernantes, J., and Serrano, N. (2016). DevOps. Ieee Software, 33(3):94–100.
Enterprise, H. P. (2016). Application security and DevOps. Technical report, Technical report, Hewlett Packard Enterprise.
Freitas, F. D. S. (2020). Application security in continuous delivery.
Handova, D. (2020). How does IAST fit into DevSecOps? [link]. (Accessed on 31/10/2021).
Helmet (2022). helmet - npm. https://www.npmjs.com/package/helmet. (Accessed on 05/28/2022).
Jetbrains (2021). O que é DevSecOps e qual seu papel no CD? — guia de ci/cd do teamcity. [link]. (Accessed on 04/23/2021).
Koskinen, A. (2019). DevSecOps: building security into the core of devops.
Leite, L., Rocha, C., Kon, F., Milojicic, D., and Meirelles, P. (2019). A survey of DevOps concepts and challenges. ACM Computing Surveys (CSUR), 52(6):1–35.
Microfocus (2022). What is DevSecOps? [link]. (Accessed on 05/28/2022).
Myrbakken, H. and Colomo-Palacios, R. (2017). DevSecOps: a multivocal literature review. In International Conference on Software Process Improvement and Capability Determination, pages 17–29. Springer.
Owasp (2021). Introdução ao OWASP Top 10 2021. https://owasp.org/Top10/pt_BR/. (Accessed on 10/13/2021).
Radware (2020). Radware research: The state of WEB application and API protection. Technical report.
Simpson, G. B. (2018). CI/CD software security automation. Technical report, Sandia National Lab.(SNL-NM), Albuquerque, NM (United States).
Publicado
12/09/2022
Como Citar
DE FRANÇA, Rafael Pio; DA SILVA, Vinicius Barcelos.
DevSecOps - integração da segurança contínua em pipelines DevOps: um estudo de caso. In: WORKSHOP DE TRABALHOS DE INICIAÇÃO CIENTÍFICA E DE GRADUAÇÃO - SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 22. , 2022, Santa Maria.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2022
.
p. 272-285.
DOI: https://doi.org/10.5753/sbseg_estendido.2022.225293.
