DevSecOps - Operaciones de Seguridad en Pipelines de Integración y Entrega Continua

Abstract

Incorporar la seguridad en DevOps ha sido un desafío debido a que los métodos de seguridad tradicionales no han podido mantenerse al ritmo de la agilidad y velocidad de DevOps. Para lograrlo, tenía que surgir un nuevo paradigma, con métodos de seguridad modernizados capaces de satisfacer y seguir el mismo ritmo: DevSecOps. Este estudio pretende ofrecer una visión general de lo que es DevSecOps, lo que implica su implementación, los beneficios que se obtienen y los desafíos que enfrentamos al hacerlo. Se analizan las etapas del ciclo de vida del software antes y después de su adopción, destacando los beneficios y desafíos de esta transición. Para ello, realizamos una revisión de los conceptos fundamentales de DevOps y su evolución hacia DevSecOps, subrayando la importancia de integrar la seguridad desde el inicio del desarrollo del software. En el núcleo de la tesis, se diseña y se implementa un pipeline CI/CD robusto en la plataforma Gitlab, que incluye integración continua (CI), entrega continua (CD) y pruebas de seguridad automatizadas, siguiendo la cultura de DevSecOps. Los resultados obtenidos muestran cómo la incorporación de prácticas DevSecOps no sólo mejora la seguridad del software, sino que también optimiza la colaboración entre los equipos de desarrollo, operaciones y seguridad, aplicando un modelo de responsabilidad compartida.

Incorporating security into DevOps has been a challenge because traditional security methods have not been able to keep pace with the agility and speed of DevOps. To achieve this, a new paradigm had to emerge, with modernized security methods able to meet and keep pace: DevSecOps. This study aims to provide an overview of what DevSecOps is, what its implementation involves, the benefits to be gained and the challenges we face in performing it. We analyze the stages of the software lifecycle before and after its adoption, highlighting the benefits and challenges of this transition. To do so, we perform a review of the fundamental concepts of DevOps and its evolution towards DevSecOps, highlighting the importance of integrating security from the beginning of software development. At the core of the thesis, a robust CI/CD pipeline is designed and implemented on the Gitlab platform, which includes continuous integration (CI), continuous delivery (CD) and automated security testing, following the DevSecOps culture. The results obtained show how the incorporation of DevSecOps practices not only improves software security, but also optimizes collaboration between development, operations and security teams, applying a shared responsibility model.