| Título: | DevSecOps : um estudo sobre a aplicação de segurança ao pipeline DevOps de um software |
| Autor(es): | Moreira, Dafne Moretti
Andrade, Lucas da Cunha |
| Orientador(es): | Serrano, Milene |
| Coorientador(es): | Serrano, Maurício |
| Assunto: | Software - segurança
Cibersegurança
DevOps |
| Data de apresentação: | 8-Jul-2024 |
| Data de publicação: | 8-Out-2024 |
| Referência: | MOREIRA, Dafne Moretti; ANDRADE, Lucas da Cunha. DevSecOps: um estudo sobre a aplicação de segurança ao pipeline DevOps de um software. 2024. 173 f., il. Trabalho de Conclusão de Curso (Bacharelado em Engenharia de Software) — Universidade de Brasília, Brasília, 2024. |
| Resumo: | A segurança de software é um conjunto de ações, processos e técnicas utilizado para garantir um sistema protegido de acessos não autorizados a ativos e recursos. Torna-se, assim, fundamental que a segurança seja implementada em todo o ciclo de vida de desenvolvimento de software. Contudo, muitos produtos de software utilizados não são seguros, seja por negligências ao longo do desenvolvimento dos mesmos; seja por não continuidade de investimentos no que compete ao critério de segurança após esses produtos serem implantados. Por isso, a implementação da segurança no pipeline DevOps (Desenvolvimento e Operações), ou seja, no processo que promove a colaboração e a integração entre as equipes de desenvolvimento e operações do software, garante monitoramento contínuo de vulnerabilidades e resposta rápida a possíveis ataques de segurança. A OWASP Top 10 apresenta uma série de diretrizes a práticas a serem seguidas que evitam as vulnerabilidades mais encontradas, inclusive para o pipeline Continuous Integration/Continuous
Delivery (CI/CD), que significam, respectivamente, Integração e Entrega Contínuas. Com base na premissa de que a segurança na atividade de gerência de configuração do software garante um ambiente de produção mais seguro, este trabalho apresenta um pipeline DevSecOps. Cabe ressaltar que a atividade de gerenciamento de configuração é realizada de forma transversal no ciclo de vida de um software, com maior intensidade nas etapas de desenvolvimento e manutenção evolutiva de software. Por fim, entende-se que DevSecOps, abreviação de desenvolvimento, segurança e operações, automatiza a integração do
critério de segurança nas etapas do ciclo de vida de desenvolvimento de software, desde o design inicial até a entrega e a evolução do software. |
| Abstract: | Software security encompasses a set of actions, processes, and techniques designed to safeguard a system against unauthorized access to assets and resources. Therefore, it is essential to implement security measures throughout the software development lifecycle. However, numerous software pieces lack security, either due to negligence during devel opment or a failure to sustain investments in security criteria post-implementation. This is where integrating security into the DevOps (Development and Operations) pipeline becomes crucial. The DevOps pipeline fosters collaboration and integration between development and operations teams, ensuring continuous monitoring of vulnerabilities and swift responses to potential security threats. The OWASP Top 10 provides guidelines and practices to prevent commonly encountered vulnerabilities, including those in the Continuous Integration/Continuous Delivery (CI/CD) pipeline, representing Continuous Integration and Continuous Delivery, respectively. Building on the premise that security in software configuration management ensures a more secure production environment, this paper presents a DevSecOps pipeline. It’s worth noting that configuration management is a vital aspect of the software lifecycle, with greater emphasis during development and maintenance stages. Finally, DevSecOps, an abbreviation for development, security,
and operations, automates the incorporation of security criteria into various stages of the software development lifecycle. This integration spans from the initial design phase to the delivery and ongoing evolution of the software. |
| Informações adicionais: | Trabalho de Conclusão de Curso (graduação) — Universidade de Brasília, Faculdade UnB Gama, 2024. |
| Licença: | A concessão da licença deste item refere-se ao termo de autorização impresso assinado pelo autor que autoriza a Biblioteca Digital da Produção Intelectual Discente da Universidade de Brasília (BDM) a disponibilizar o trabalho de conclusão de curso por meio do sítio bdm.unb.br, com as seguintes condições: disponível sob Licença Creative Commons 4.0 International, que permite copiar, distribuir e transmitir o trabalho, desde que seja citado o autor e licenciante. Não permite o uso para fins comerciais nem a adaptação desta. |
| Aparece na Coleção: | Engenharia de Software
|
Todos os itens na BDM estão protegidos por copyright. Todos os direitos reservados.
