Loading...
Publication
Observabilidade em DevSecOps: Visualização de Dados de Segurança de Aplicações Web
| Name: | Description: | Size: | Format: | |
|---|---|---|---|---|
| 6.27 MB | Adobe PDF |
Abstract(s)
O crescimento excecional do número de atividades de cibercrime que exploram as
vulnerabilidades existentes em aplicações Web reforçou a necessidade das organizações em
fortalecerem as suas políticas de segurança em vigor durante o ciclo de vida de
desenvolvimento de software – SDLC. Para suprir esta necessidade surgiu o conceito de
DevSecOps, que implementa práticas e testes de segurança, realizados por scanners
automáticos, durante todo o SDLC. Estes scanners possuem meios para reportar as
vulnerabilidades identificadas, mas geralmente apresentam funcionalidades limitadas para
representar essa informação de forma visual.
Este documento apresenta a descrição de uma solução desenvolvida no âmbito de um estágio
curricular realizado em ambiente empresarial. A solução permite a extração, integração e
visualização de dados relevantes e constantes nos relatórios de diversos tipos ferramentas de
segurança. Os dados extraídos e integrados são apresentados graficamente, por meio de um
dashboard interativo e customizado, explorando os conceitos associados à visualização de
dados. São descritas todas etapas de desenvolvimento desta solução, desde o processo de
extração de dados até ao desenvolvimento do dashboard.
A análise comparativa efetuada demonstra que a solução se destaca das soluções
semelhantes, devido à sua capacidade de integração e apresentação de dados de múltiplos
tipos de ferramentas de segurança num dashboard unificado, contrariamente às restantes,
que se focam em tipos específicos de ferramentas de seguranças. Esta abordagem
proporciona uma visão geral do estado da segurança das aplicações e uma análise detalhada
das vulnerabilidades existentes.
O contributo principal desta solução reside na melhoria do processo de monitorização e
avaliação do estado de segurança das aplicações desenvolvidas, fornecendo insights valiosos
para a organização. Esses insights auxiliam na tomada de decisões sobre a implementação
de medidas e protocolos de segurança no SDLC. Este contributo foi corroborado pela
realização de um inquérito SUS, que confirma a validade da solução desenvolvida
The exceptional rise in cybercriminal activities exploiting web application vulnerabilities has intensified the need for organizations to strengthen their security policies throughout the Software Development Life Cycle (SDLC). The concept of DevSecOps emerged to address this issue, integrating security practices and automated security testing using scanners throughout the entire SDLC. These scanners have mechanisms for reporting identified vulnerabilities but have limited capabilities for visually representing this information in general. This document presents the description of a solution developed as part of a curricular internship, conducted in a corporate environment. The solution enables the extraction, integration and visualization of relevant data contained in reports from several types of security tools. The extracted and integrated data are presented graphically through an interactive and customizable dashboard, leveraging concepts associated with data visualization. All development stages of this solution are described, from the data extraction process to the dashboard implementation. The comparative analysis conducted demonstrates that this solution stands out from similar alternatives due to its ability to integrate and present data from multiple types of security tools in a unified dashboard, unlike existing solutions that focus on specific types of security tools. This approach provides an overall view of the security status of applications, offering a detailed analysis of existing vulnerabilities. The main contribution of this solution lies in improving the process of monitoring and assessing the security status of developed applications, providing valuable insights for the organization. These insights support decision-making regarding the implementation of security measures and protocols throughout the application development cycle. This contribution was validated through a SUS survey, which confirms the effectiveness of the developed solution
The exceptional rise in cybercriminal activities exploiting web application vulnerabilities has intensified the need for organizations to strengthen their security policies throughout the Software Development Life Cycle (SDLC). The concept of DevSecOps emerged to address this issue, integrating security practices and automated security testing using scanners throughout the entire SDLC. These scanners have mechanisms for reporting identified vulnerabilities but have limited capabilities for visually representing this information in general. This document presents the description of a solution developed as part of a curricular internship, conducted in a corporate environment. The solution enables the extraction, integration and visualization of relevant data contained in reports from several types of security tools. The extracted and integrated data are presented graphically through an interactive and customizable dashboard, leveraging concepts associated with data visualization. All development stages of this solution are described, from the data extraction process to the dashboard implementation. The comparative analysis conducted demonstrates that this solution stands out from similar alternatives due to its ability to integrate and present data from multiple types of security tools in a unified dashboard, unlike existing solutions that focus on specific types of security tools. This approach provides an overall view of the security status of applications, offering a detailed analysis of existing vulnerabilities. The main contribution of this solution lies in improving the process of monitoring and assessing the security status of developed applications, providing valuable insights for the organization. These insights support decision-making regarding the implementation of security measures and protocols throughout the application development cycle. This contribution was validated through a SUS survey, which confirms the effectiveness of the developed solution
Description
Keywords
Aplicações web Dashboard Ferramentas de segurança Segurança de aplicações Visualização de dados Vulnerabilidades