Ítem
Acceso Abierto

Resilient DevSecOps: leveraging large language models and chaos engineering for automated threat hypothesis validation

Título de la revista
https://repository.urosario.edu.co/handle/10336/47638
 https://doi.org/10.48713/10336_47638
Autores
Betancourt Alonso, Miguel Santiago
Fecha
2025-11-07
Directores
Díaz López, Daniel Orlando
ISSN de la revista
Título del volumen
Editor
Universidad del Rosario

Buscar en:
Métricas alternativas
Resumen
La securitización del ciclo de vida del desarrollo de software es una práctica que permite a las empresas producir código que cumple con los tres pilares fundamentales de la seguridad: integridad, confidencialidad y disponibilidad de los datos procesados, así como de los servicios prestados en sus aplicaciones de producción. Actualmente, es obligatorio integrar prácticas del Ciclo de Vida de Desarrollo de Software Seguro (SSDLC) en las tareas del equipo debido al creciente aumento de amenazas a la seguridad. Los equipos de desarrollo suelen estar compuestos por personal técnico y no técnico que participa en las primeras etapas del SSDLC, como la planificación y el diseño. Sin embargo, muchos de estos miembros carecen de conocimientos en ciberseguridad. Además de esta falta de conocimientos, la integración de herramientas de securitización en el SSDLC se ve obstaculizada por el hecho de que estas herramientas se aplican manualmente y requieren un tiempo considerable para su construcción. Asimismo, el retraso en la gestión de nuevas amenazas hace que el producto final sea vulnerable a ciberataques debido a componentes o políticas de seguridad obsoletos. Este trabajo, presentado como proyecto de grado para el Máster en MACC, propone la integración de Modelos de Lenguaje Largos (LLM) y la metodología de Ingeniería de Caos de Seguridad (SCE) para facilitar la incorporación de tareas centradas en la seguridad dentro del Ciclo de Vida de Desarrollo de Software Seguro (SSDLC). Por un lado, los LLM automatizan la construcción e interpretación de árboles de ataque y defensa, lo que facilita la generación de hipótesis sobre escenarios de ataque. Por otro lado, la SCE proporciona una evaluación de la resiliencia, estabilidad y capacidad de recuperación del sistema, resultante de la ejecución de un conjunto de experimentos en un entorno DevSecOps controlado, destinados a explotar las vulnerabilidades del sistema.
Abstract
The securitization of the software development lifecycle is a practice that enables companies to produce code that meets the three fundamental pillars of security: integrity, confidentiality, and availability of the processed data, as well as the services provided within their production applications. Currently, it is mandatory to integrate practices from the Secure Software Development Lifecycle (SSDLC) into the team’s tasks due to the increasing rise of security threats. Development teams are typically composed of both technical and non-technical personnel who participate in the early stages of the SSDLC, such as planning and design. However, many of these members lack knowledge in cybersecurity. In addition to the lack of knowledge, the integration of securitization tools into the SSDLC is hampered by the fact that these tools are applied manually and require significant time for construction. Furthermore, the lag in addressing new threats results in the final product being vulnerable to cyberattacks due to outdated security components or policies. This work, presented as a degree project for the Master’s in MACC, proposes the integration of Large Language Models (LLMs) and the methodology of Security Chaos Engineering (SCE) to facilitate the incorporation of security-focused tasks within the Secure Software Development Life Cycle (SSDLC). On one hand, LLMs automate the tasks of constructing and interpreting attack and defense trees, facilitating the generation of hypotheses about attack scenarios. On the other hand, SCE provides an evaluation of the system’s resilience, stability, and recovery capabilities, resulting from the execution of a set of experiments in a controlled DevSecOps environment aimed at exploiting system vulnerabilities.
Palabras clave
Ingeniería del caos , SSDLC , LLM , Ciclo de vida de software , Árbol de ataque , Modelos de Lenguaje Extendido , DevSecOps , Cloud , Ciberseguridad , Experimentos de ataque , Explotación de vulnerabilidades , Ciberdefensa
Keywords
Large Language Models , Secure Software Development Life Cycle , Security Chaos Engineering , Attack-Defense Tree
Buscar en:
Enlace a la fuente
Enlaces relacionados
https://arxiv.org/pdf/2602.14106
Set de datos
Colecciones
Maestría en Matemáticas Aplicadas y Ciencias de la Computación
Mostrar el registro completo de la publicación