Implementación de un pipeline de seguridad para la detección de vulnerabilidades en aplicaciones

Abstract

RESUMEN : En las últimas décadas hemos sido testigos de la aceleración en los procesos asociados al desarrollo, consumo y mantenimiento de software, lo cual ha representado procesos más dinámicos en el ciclo de vida del software, pero a su vez ha introducido nuevos desafíos frente a la necesidad de garantizar el aseguramiento de aplicaciones que se encuentran en constante cambio. Ante esta problemática han surgido un conjunto de técnicas, métodos, herramientas y prácticas que se integran en el marco de una filosofía de cambio sobre el ciclo de vida del software como unidad, rompiendo barreras entre equipos de desarrollo, operación y seguridad, para trabajar con el objetivo de mantener un flujo contínuo en la creación de software seguro y de calidad. A partir de la necesidad de mecanismos que permitan agregar seguridad a los procesos de desarrollo, se realizó un proyecto que consiguió automatizar y agilizar los procesos de identificación de vulnerabilidades sobre aplicaciones mediante la implementación de un conjunto de etapas de seguridad definidas a través de un pipeline que integra herramientas de control de versiones, repositorios, registros, escaneos estáticos y dinámicos.

ABSTRACT : In the last decades we have witnessed an acceleration in the processes associated with development, consumption and maintenance of software, which has represented more dynamic processes in the software life cycle, but at the same time has introduced new challenges regarding the need to guarantee security of applications that are constantly changing. Faced with this problem, a set of techniques, methods, tools and practices have emerged that are integrated within the framework of a philosophy of change on the software life cycle as a unit, breaking down barriers between development, operation and security teams, to work with the objective of maintaining a continuous flow in the creation of safe and quality software. Based on the need for mechanisms that allow adding security to the development processes, a project was carried out that managed to automate and streamline the processes for identifying vulnerabilities in applications through the implementation of a set of security stages defined through a pipeline. which integrates version control tools, repositories, registries, static and dynamic scans.