Investigación y evaluación de herramientas Open Source para escaneo de vulnerabilidades en el ciclo de vida de las aplicaciones, con el fin de ser integradas en los Pipelines en Azure del Grupo Éxito. Semestre de Industria.

Abstract

RESUMEN : En el ciclo de vida del desarrollo de software del Grupo Éxito, se usaba una plataforma comercial para la identificación de vulnerabilidades de seguridad en el código mediante la ejecución de pruebas SAST, SCA y DAST. Sin embargo, dada la restructuración de la dirección de TI al inicio del año 2024, se redirigió la atención hacia herramientas open source para la optimización de recursos. En este nuevo enfoque, la mayoría de los procesos de TI se debían llevar a un entorno automatizado de integración y despliegue continuo CI/CD, como parte de una estrategia para centralizar el desarrollo de software con una infraestructura definida como código en pipelines de Azure DevOps. En función de cumplir con estos requerimientos se propuso investigar e implementar herramientas open source en los pipelines de CI para reemplazar la plataforma comercial. Para ello, se hizo la evaluación de los reportes que arrojaban algunas herramientas tras la inspección de repositorios deliberadamente vulnerables, a fin de elegir las que cumplieran con los criterios de aceptación e indicadores de rendimiento favorables. Las herramientas seleccionadas permitieron cubrir pruebas de seguridad del código fuente SAST y análisis de composición de software SCA, generando el rompimiento del pipeline de forma automática ante hallazgos con severidad mayor a los umbrales definidos. En conclusión, estas herramientas generaron un impacto positivo en la compañía en relación con el ahorro de recursos, automatización de pruebas y autonomía en el control de las herramientas.

ABSTRACT : In the software development life cycle of Grupo Éxito, a commercial platform was used to identify security vulnerabilities in the code through the execution of SAST, SCA and DAST tests. However, given the restructuring of IT management at the beginning of 2024, attention was redirected towards open source tools for resource optimization. In this new approach, most IT processes were to be brought into an automated CI/CD continuous integration and deployment environment, as part of a strategy to centralize software development with an infrastructure defined as code in Azure DevOps pipelines. In order to meet these requirements, it was proposed to investigate and implement open source tools in CI pipelines to replace the commercial platform. To do so, we evaluated the reports of some tools after inspection of deliberately vulnerable repositories, in order to choose the ones that met the acceptance criteria and favorable performance indicators. The selected tools allowed to cover SAST source code security testing and SCA software composition analysis, generating the pipeline break automatically in case of findings with severity greater than the defined thresholds. In conclusion, these tools generated a positive impact on the company in terms of resource savings, test automation and autonomy in the control of the tools.