HuskyCI: um orquestrador de testes de segurança em software para ciclos ágeis de desenvolvimento

  • Thiago Lotufo Globo Comunicação e Participações S/A
  • Sérgio Câmara Globo Comunicação e Participações S/A
DOI: https://doi.org/10.5753/sbseg_estendido.2024.243396

Resumo


DevSecOps combina desenvolvimento, segurança e operações para criar um processo ágil e seguro de entrega de software. A metodologia promove a integração da segurança no ciclo de desenvolvimento, o que diminui custos e esforços de correção. As pipelines de CI/CD automatizam o fluxo do código desde a construção até a produção, enquanto ferramentas SAST e SCA detectam vulnerabilidades de segurança. Neste artigo, apresentamos o HuskyCI, uma ferramenta de código aberto que orquestra testes de segurança em pipelines CI, oferecendo suporte a múltiplas linguagens e integração com ferramentas existentes. Conduzimos uma avaliação sobre tempo de execução dos testes e concluímos que ele não compromete o ciclo de desenvolvimento ágil dos projetos.

Referências

Black, P. E., Okun, V., and Guttman, B. (2021). Guidelines on minimum standards for developer verification of software.

Chandramouli, R. (2022). Implementation of devsecops for a microservices-based application with service mesh. Technical report, Gaithersburg, MD.

Developers, S.-L. (2024). Kmeans. [link]. Acessado em: 04 de Julho, 2024.

GitHub (2024). Security at every step — github. [link]. Acessado em: 04 de Julho, 2024.

GitLab (2024). Gitlab sast. [link]. Acessado em: 04 de Julho, 2024.

Globo (2024a). huskyci - an open source sast for devsecops. [link]. Acessado em 30 de junho de 2024.

Globo (2024b). Tsuru: Uma plataforma de serviço aberta e extensível. [link]. Acessado em: 04 de Julho, 2024.

Gosec (2024). Gosec: Verificador de segurança go. [link]. Acessado em: 04 de Julho, 2024.

Hleap, S. (2024). Unmasking the outliers: Exploring the interquartile range method for reliable data analysis. [link]. Acessado em: 04 de Julho, 2024.

NIST (2024). Source code security analyzers. [link]. Acessado em: 21 de Agosto, 2024.

OWASP Foundation (2024). Source code analysis tools. [link]. Acessado em: 21 de Agosto, 2024.

Semgrep (2024). Semgrep. [link]. Acessado em: 04 de Julho, 2024.

Snyk (2024). Snyk. [link]. Acessado em: 04 de Julho, 2024.

Souppaya, M., Scarfone, K., and Dodson, D. (2022). Secure software development framework (ssdf) version 1.1 : recommendations for mitigating the risk of software vulnerabilities. Technical report, Gaithersburg, MD.

Synopsys (2023). 2023 open source security and risk analysis (ossra) report. Relatório disponível online em [link].

Trivy (2024). Trivy. [link]. Acessado em: 04 de Julho, 2024.

ZupIT (2024). Horusec. [link]. Acessado em: 04 de Julho, 2024.
Publicado
16/09/2024
Como Citar

Selecione um Formato
LOTUFO, Thiago; CÂMARA, Sérgio. HuskyCI: um orquestrador de testes de segurança em software para ciclos ágeis de desenvolvimento. In: SALÃO DE FERRAMENTAS - SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 24. , 2024, São José dos Campos/SP. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2024 . p. 97-104. DOI: https://doi.org/10.5753/sbseg_estendido.2024.243396.