Dissertação
DevSecOps framework focused on Continuous Security Testing EVALUATED
DevSecOps é uma metodologia de desenvolvimento de software derivada do DevOps que está em crescimento. Esta metodologia foca-se em quebrar as barreiras entre as equipas de desenvolvimento, segurança e operações, e em introduzir a segurança desde o início do processo de desenvolvimento de software, criando assim as práticas “shift-to-the-left” e “security-by-design”. Nesta dissertação é desenvolvida uma nova framework de DevSecOps, focada na prática Continuous Security Testing, que é depois aplicada a um caso de estudo. Esta framework foi desenvolvida de maneira a ser fácil de compreender e fácil de aplicar em diversos setores da indústria de desenvolvimento de software. A framework desenvolvida é composta por uma pipeline CI/CD, um conjunto de atividades, e uma lista de ferramentas. Dado que esta framework deve ser fácil de adotar houve um foco em software open-source, de modo a tornar a framework mais acessível. Para avaliar a utilidade desta framework, esta foi aplicada a um projeto baseado em DevOps. Neste projeto foi adicionada uma nova fase Test, e adicionadas novas atividades às fases já existentes. Foram utilizadas ferramentas para automatizar estas atividades, de modo a minimizar o impacto para os developers. Devido às características deste projeto, não foi possível aplicar a framework de DevSecOps na sua totalidade. Contudo, os resultados obtidos foram positivos. Ao adicionar estas novas atividades e ferramentas foi possível detetar novas vulnerabilidades e defeitos que os developers se podem agora focar em tratar. Os developers gostaram das ferramenta; acharam-nas úteis, pouco intrusivas e não acharam que influenciasse negativamente a sua produtividade.
dezembro 14, 2023, 17:0
Publicação
Obra sujeita a Direitos de Autor
Orientação
ORIENTADOR
Nuno Miguel Carvalho dos Santos
Departamento de Engenharia Informática (DEI)
Professor Associado