Descripción
- Documento de conferencia
Resilient DevSecOps: leveraging large language models and chaos engineering for automated threat hypothesis validation Tesis
Perfil
Tutor
- Díaz López, Daniel Orlando Persona
Thesis author
- Betancourt Alonso, Miguel Santiago
Resumen
- La securitización del ciclo de vida del desarrollo de software es una práctica que permite a las empresas producir código que cumple con los tres pilares fundamentales de la seguridad: integridad, confidencialidad y disponibilidad de los datos procesados, así como de los servicios prestados en sus aplicaciones de producción. Actualmente, es obligatorio integrar prácticas del Ciclo de Vida de Desarrollo de Software Seguro (SSDLC) en las tareas del equipo debido al creciente aumento de amenazas a la seguridad. Los equipos de desarrollo suelen estar compuestos por personal técnico y no técnico que participa en las primeras etapas del SSDLC, como la planificación y el diseño. Sin embargo, muchos de estos miembros carecen de conocimientos en ciberseguridad. Además de esta falta de conocimientos, la integración de herramientas de securitización en el SSDLC se ve obstaculizada por el hecho de que estas herramientas se aplican manualmente y requieren un tiempo considerable para su construcción.Asimismo, el retraso en la gestión de nuevas amenazas hace que el producto final sea vulnerable a ciberataques debido a componentes o políticas de seguridad obsoletos. Este trabajo, presentado como proyecto de grado para el Máster en MACC, propone la integración de Modelos de Lenguaje Largos (LLM) y la metodología de Ingeniería de Caos de Seguridad (SCE) para facilitar la incorporación de tareas centradas en la seguridad dentro del Ciclo de Vida de Desarrollo de Software Seguro (SSDLC). Por un lado, los LLM automatizan la construcción e interpretación de árboles de ataque y defensa, lo que facilita la generación de hipótesis sobre escenarios de ataque. Por otro lado, la SCE proporciona una evaluación de la resiliencia, estabilidad y capacidad de recuperación del sistema, resultante de la ejecución de un conjunto de experimentos en un entorno DevSecOps controlado, destinados a explotar las vulnerabilidades del sistema.
fecha de publicación
- marzo 18, 2026 3:02 p. m.
tiene restricción
- info:eu-repo/semantics/openAccess