AWS Enterprise CloudNative Security: Pipeline DevSecOps CI/CD Modulari con Terraform = AWS Enterprise CloudNative Security: Modular DevSecOps CI/CD Pipelines using Terraform

Davide Andriano

AWS Enterprise CloudNative Security: Pipeline DevSecOps CI/CD Modulari con Terraform = AWS Enterprise CloudNative Security: Modular DevSecOps CI/CD Pipelines using Terraform.

Rel. Riccardo Sisto. Politecnico di Torino, Corso di laurea magistrale in Ingegneria Informatica (Computer Engineering), 2024

Abstract

Con il proliferare dei rilasci software da parte degli sviluppatori e l'incremento progressivo degli attacchi informatici, le organizzazioni sono chiamate a gestire il tema della sicurezza in modo proattivo ed integrato nel processo di sviluppo, in modo da limitare i costi derivanti da potenziali violazioni, garantendo una più elevata qualità e robustezza del software nonché una maggiore resilienza contro minacce sempre più sofisticate. DevSecOps, abbreviazione di Development, Security, e Operations, rappresenta la naturale evoluzione, dal punto di vista della sicurezza, del concetto di DevOps e si propone come risposta proattiva per garantire che la sicurezza venga integrata “by design” durante tutto il ciclo di sviluppo del software.

Considerando anche la crescente migrazione delle organizzazioni verso piattaforme Cloud per i rilasci dei propri applicativi, si inquadra questo lavoro di Tesi, svolto in collaborazione con Storm Reply, il cui obiettivo è la definizione e realizzazione di due pipeline di Continuous Integration/Continuous Deployment (CI/CD) in ottica DevSecOps in ambiente Cloud Amazon Web Services (AWS) che permettano, in maniera automatizzata, l'identificazione di vulnerabilità e criticità a monte nel codice sorgente, diminuendo il tempo di notifica agli sviluppatori e relativa correzione garantendo cicli di sviluppo brevi e frequenti nel rispetto delle logiche di time-to-market del contesto enterprise, permettendo di presentare e rilasciare soluzioni applicative robuste e sicure