DevSecOps - integração da segurança contínua em pipelines DevOps: um estudo de caso

  • Rafael Pio de França IFF
  • Vinicius Barcelos da Silva IFF

Resumo


O DevOps busca integrar os mundos de desenvolvimento e operações, por meio de forte automatização nas fases de desenvolvimento e entrega o software. Apesar do DevOps não excluir a segurança, sua adoção é vista como um gargalo para o fluxo DevOps. O presente trabalho se propõe a demonstrar, por meio de um estudo de caso, o desenvolvimento de um pipeline DevOps e sua integração com a segurança contínua, alcançando assim um pipeline DevSecOps. Através da comparação entre os pipelines, contatou-se que ambos cumprem seus papéis de automatização, porém, o pipeline DevSecOps conseguiu impedir à entrega de uma aplicação vulnerável à produção, se mostrando como solução pertinente para o uso do DevOps de maneira segura e ágil.

Referências

Ahmed, A. (2019). DevSecOps: Enabling security by design in rapid software development. Master’s thesis.

Carter, K. (2017). Francois raynaud on DevSecOps. IEEE Software, 34(5):93–96.

CeArley, D., Burke, B., Searle, S., and Walker, M. J. (2016). Top 10 strategic technology trends for 2018. The Top, 10:1–246.

Danielecki, D. M. (2019). Security first approach in development of single-page application based on angular. Master’s thesis, University of Twente.

Ebert, C., Gallardo, G., Hernantes, J., and Serrano, N. (2016). DevOps. Ieee Software, 33(3):94–100.

Enterprise, H. P. (2016). Application security and DevOps. Technical report, Technical report, Hewlett Packard Enterprise.

Freitas, F. D. S. (2020). Application security in continuous delivery.

Handova, D. (2020). How does IAST fit into DevSecOps? [link]. (Accessed on 31/10/2021).

Helmet (2022). helmet - npm. https://www.npmjs.com/package/helmet. (Accessed on 05/28/2022).

Jetbrains (2021). O que é DevSecOps e qual seu papel no CD? — guia de ci/cd do teamcity. [link]. (Accessed on 04/23/2021).

Koskinen, A. (2019). DevSecOps: building security into the core of devops.

Leite, L., Rocha, C., Kon, F., Milojicic, D., and Meirelles, P. (2019). A survey of DevOps concepts and challenges. ACM Computing Surveys (CSUR), 52(6):1–35.

Microfocus (2022). What is DevSecOps? [link]. (Accessed on 05/28/2022).

Myrbakken, H. and Colomo-Palacios, R. (2017). DevSecOps: a multivocal literature review. In International Conference on Software Process Improvement and Capability Determination, pages 17–29. Springer.

Owasp (2021). Introdução ao OWASP Top 10 2021. https://owasp.org/Top10/pt_BR/. (Accessed on 10/13/2021).

Radware (2020). Radware research: The state of WEB application and API protection. Technical report.

Simpson, G. B. (2018). CI/CD software security automation. Technical report, Sandia National Lab.(SNL-NM), Albuquerque, NM (United States).
Publicado
12/09/2022
DE FRANÇA, Rafael Pio; DA SILVA, Vinicius Barcelos. DevSecOps - integração da segurança contínua em pipelines DevOps: um estudo de caso. In: WORKSHOP DE TRABALHOS DE INICIAÇÃO CIENTÍFICA E DE GRADUAÇÃO - SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 22. , 2022, Santa Maria. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2022 . p. 272-285. DOI: https://doi.org/10.5753/sbseg_estendido.2022.225293.