Diferencia entre revisiones de «DevSecOps - Delfín Santana»
(→Conclusiones y posibles trabajos futuros) |
(→Resumen) |
||
| Línea 4: | Línea 4: | ||
=Resumen= | =Resumen= | ||
| − | En este trabajo se quiere definir el término DevSecOps, hacer una investigación sobre algunas de las herramientas que se utilizan actualmente y una implementación práctica. El repositorio de la implementación es [ | + | En este trabajo se quiere definir el término DevSecOps, hacer una investigación sobre algunas de las herramientas que se utilizan actualmente y una implementación práctica. El repositorio de la implementación es [https://github.com/DelfinSR/DevSecOps-Delfin]. Además, durante el desarrollo del trabajo, aunque no se planteara en un primer momento, se ha implementado una nueva funcionalidad a la herramienta rosemary cli. |
=Resultados obtenidos= | =Resultados obtenidos= | ||
Revisión actual del 14:45 5 feb 2025
Contenido
Resumen
En este trabajo se quiere definir el término DevSecOps, hacer una investigación sobre algunas de las herramientas que se utilizan actualmente y una implementación práctica. El repositorio de la implementación es [1]. Además, durante el desarrollo del trabajo, aunque no se planteara en un primer momento, se ha implementado una nueva funcionalidad a la herramienta rosemary cli.
Resultados obtenidos
- Se ha generado la un documento en el desarrollo el trabajo [2]
- Se ha creado el repositorio [3] con la implementación. Hay que tener en cuenta que la sección de security es privada para los miembros del repositorio por lo que hay cosas que solo se pueden ver mediante las capturas del documento en el que desarrollo el trabajo
- Se ha añadido una funcionalidad a rosemary cli, que se encuentra en la rama [4] de ese mismo repositorio.
Tareas realizadas
- Se ha hecho un estudio previo en el que se ha investigado qué es DevSecOps y qué herramientas se pueden utilizar.
- Se han probado dichas herramientas en un repositorio de pruebas[5], que no es el que se ha entregado pero si se quiere se puede mirar.
- Durante las pruebas se ha decidido hacer la implementación de la funcionalidad a rosemary cli.
- Se han recogido los resultados el documento en el que desarrollo el trabajo[6].
Obstáculos
- Solo se puede hacer un fork a un repositorio de GitHub
- Algunos de los workflows implementados tardan demasiado tiempo en ejecutarse(de esto se habla más en la conclusión)
- Cuando estaba probando diferentes herramientas de seguridad me dí cuenta de que corría el riesgo de terminar usando muchas herramientas que no estén integradas con el entorno de desarrollo original de uvlhub. Esta es una de las razones por las que implementé la funcionalidad a rosemary cli.
Conclusiones y posibles trabajos futuros
- La gestión de la seguridad debe de estar lo más centralizada e integrada en el entorno de desarrollo posible. GitHub te permite conseguir esto.
- Estas herramientas se deben de gestionar correctamente para que no terminen tardando demasiado. Por ejemplo, el workflow de ZAP puede llegar a tardar bastante.
- El DevSecOps es una práctica que puede solucionar problemas de seguridad mucho antes de que lleguen a producción.
- No encuentro que hacer que los workflows que hacen análisis de vulnerabilidades salten por cada push sea beneficioso porque pueden llegar a tardar mucho y consumir todos los recursos.
- Sí encuentro beneficioso el tener un servidor privado que haga análisis de seguridad automáticos a la versión de producción.
- Se debería de investigar formas de reducir el tiempo de ejecución de los workflows de seguridad. Sobre todo para los análisis dinámicos.
