4 research outputs found
Segurança de contentores em ambiente de desenvolvimento contínuo
The rising of the DevOps movement and the transition from a product economy
to a service economy drove significant changes in the software development
life cycle paradigm, among which the dropping of the waterfall in favor of
agile methods. Since DevOps is itself an agile method, it allows us to monitor
current releases, receiving constant feedback from clients, and improving
the next software releases. Despite its extraordinary development, DevOps
still presents limitations concerning security, which needs to be included in the
Continuous Integration or Continuous Deployment pipelines (CI/CD) used in
software development.
The massive adoption of cloud services and open-source software, the widely
spread containers and related orchestration, as well as microservice architectures,
broke all conventional models of software development. Due to these
new technologies, packaging and shipping new software is done in short periods
nowadays and becomes almost instantly available to users worldwide.
The usual approach to attach security at the end of the software development
life cycle (SDLC) is now becoming obsolete, thus pushing the adoption of DevSecOps
or SecDevOps, by injecting security into SDLC processes earlier
and preventing security defects or issues from entering into production.
This dissertation aims to reduce the impact of microservices’ vulnerabilities by
examining the respective images and containers through a flexible and adaptable
set of analysis tools running in dedicated CI/CD pipelines. This approach
intends to provide a clean and secure collection of microservices for later release
in cloud production environments. To achieve this purpose, we have
developed a solution that allows programming and orchestrating a battery of
tests. There is a form where we can select several security analysis tools, and
the solution performs this set of tests in a controlled way according to the defined
dependencies. To demonstrate the solution’s effectiveness, we program
a battery of tests for different scenarios, defining the security analysis pipeline
to incorporate various tools. Finally, we will show security tools working locally,
which subsequently integrated into our solution return the same results.A ascensão da estratégia DevOps e a transição de uma economia de produto
para uma economia de serviços conduziu a mudanças significativas no paradigma
do ciclo de vida do desenvolvimento de software, entre as quais o
abandono do modelo em cascata em favor de métodos ágeis. Uma vez que
o DevOps é parte integrante de um método ágil, permite-nos monitorizar as
versões actuais, recebendo feedback constante dos clientes, e melhorando
as próximas versões de software. Apesar do seu extraordinário desenvolvimento,
o DevOps ainda apresenta limitações relativas à segurança, que necessita
de ser incluída nas pipelines de integração contínua ou implantação
contínua (CI/CD) utilizadas no desenvolvimento de software.
A adopção em massa de serviços na nuvem e software aberto, a ampla difusão
de contentores e respectiva orquestração bem como das arquitecturas
de micro-serviços, quebraram assim todos os modelos convencionais de desenvolvimento
de software. Devido a estas novas tecnologias, a preparação e
expedição de novo software é hoje em dia feita em curtos períodos temporais
e ficando disponível quase instantaneamente a utilizadores em todo o mundo.
Face a estes fatores, a abordagem habitual que adiciona segurança ao final
do ciclo de vida do desenvolvimento de software está a tornar-se obsoleta,
sendo crucial adotar metodologias DevSecOps ou SecDevOps, injetando a
segurança mais cedo nos processos de desenvolvimento de software e impedindo
que defeitos ou problemas de segurança fluam para os ambientes de
produção.
O objectivo desta dissertação é reduzir o impacto de vulnerabilidades em
micro-serviços através do exame das respectivas imagens e contentores por
um conjunto flexível e adaptável de ferramentas de análise que funcionam em
pipelines CI/CD dedicadas. Esta abordagem pretende fornecer uma coleção
limpa e segura de micro-serviços para posteriormente serem lançados em
ambientes de produção na nuvem. Para atingir este objectivo, desenvolvemos
uma solução que permite programar e orquestrar uma bateria de testes.
Existe um formulário onde podemos seleccionar várias ferramentas de análise
de segurança, e a solução executa este conjunto de testes de uma forma
controlada de acordo com as dependências definidas. Para demonstrar a
eficácia da solução, programamos um conjunto de testes para diferentes cenários,
definindo as pipelines de análise de segurança para incorporar várias
ferramentas. Finalmente, mostraremos ferramentas de segurança a funcionar
localmente, que posteriormente integradas na nossa solução devolvem
os mesmos resultados.Mestrado em Engenharia Informátic
Actas de la XIII Reunión Española sobre Criptología y Seguridad de la Información RECSI XIII : Alicante, 2-5 de septiembre de 2014
Si tuviéramos que elegir un conjunto de palabras clave para definir la sociedad actual, sin duda el término información sería uno de los más representativos. Vivimos en un mundo caracterizado por un continuo flujo de información en el que las Tecnologías de la Información y Comunicación (TIC) y las Redes Sociales desempeñan un papel relevante. En la Sociedad de la Información se generan gran variedad de datos en formato digital, siendo la protección de los mismos frente a accesos y usos no autorizados el objetivo principal de lo que conocemos como Seguridad de la Información. Si bien la Criptología es una herramienta tecnológica básica, dedicada al desarrollo y análisis de sistemas y protocolos que garanticen la seguridad de los datos, el espectro de tecnologías que intervienen en la protección de la información es amplio y abarca diferentes disciplinas. Una de las características de esta ciencia es su rápida y constante evolución, motivada en parte por los continuos avances que se producen en el terreno de la computación, especialmente en las últimas décadas. Sistemas, protocolos y herramientas en general considerados seguros en la actualidad dejarán de serlo en un futuro más o menos cercano, lo que hace imprescindible el desarrollo de nuevas herramientas que garanticen, de forma eficiente, los necesarios niveles de seguridad. La Reunión Española sobre Criptología y Seguridad de la Información (RECSI) es el congreso científico español de referencia en el ámbito de la Criptología y la Seguridad en las TIC, en el que se dan cita periódicamente los principales investigadores españoles y de otras nacionalidades en esta disciplina, con el fin de compartir los resultados más recientes de su investigación. Del 2 al 5 de septiembre de 2014 se celebrará la decimotercera edición en la ciudad de Alicante, organizada por el grupo de Criptología y Seguridad Computacional de la Universidad de Alicante. Las anteriores ediciones tuvieron lugar en Palma de Mallorca (1991), Madrid (1992), Barcelona (1994), Valladolid (1996), Torremolinos (1998), Santa Cruz de Tenerife (2000), Oviedo (2002), Leganés (2004), Barcelona (2006), Salamanca (2008), Tarragona (2010) y San Sebastián (2012)