Ítem
Acceso Abierto

Resilient DevSecOps: leveraging large language models and chaos engineering for automated threat hypothesis validation

Mostrar el registro sencillo de la publicación
dc.contributor.advisorDíaz López, Daniel Orlando
dc.creatorBetancourt Alonso, Miguel Santiago
dc.creator.degreeMagíster en Matemáticas Aplicadas y Ciencias de la Computación
dc.date.accessioned2026-03-18T15:02:25Z
dc.date.available2026-03-18T15:02:25Z
dc.date.created2025-11-07
dc.descriptionLa securitización del ciclo de vida del desarrollo de software es una práctica que permite a las empresas producir código que cumple con los tres pilares fundamentales de la seguridad: integridad, confidencialidad y disponibilidad de los datos procesados, así como de los servicios prestados en sus aplicaciones de producción. Actualmente, es obligatorio integrar prácticas del Ciclo de Vida de Desarrollo de Software Seguro (SSDLC) en las tareas del equipo debido al creciente aumento de amenazas a la seguridad. Los equipos de desarrollo suelen estar compuestos por personal técnico y no técnico que participa en las primeras etapas del SSDLC, como la planificación y el diseño. Sin embargo, muchos de estos miembros carecen de conocimientos en ciberseguridad. Además de esta falta de conocimientos, la integración de herramientas de securitización en el SSDLC se ve obstaculizada por el hecho de que estas herramientas se aplican manualmente y requieren un tiempo considerable para su construcción. Asimismo, el retraso en la gestión de nuevas amenazas hace que el producto final sea vulnerable a ciberataques debido a componentes o políticas de seguridad obsoletos. Este trabajo, presentado como proyecto de grado para el Máster en MACC, propone la integración de Modelos de Lenguaje Largos (LLM) y la metodología de Ingeniería de Caos de Seguridad (SCE) para facilitar la incorporación de tareas centradas en la seguridad dentro del Ciclo de Vida de Desarrollo de Software Seguro (SSDLC). Por un lado, los LLM automatizan la construcción e interpretación de árboles de ataque y defensa, lo que facilita la generación de hipótesis sobre escenarios de ataque. Por otro lado, la SCE proporciona una evaluación de la resiliencia, estabilidad y capacidad de recuperación del sistema, resultante de la ejecución de un conjunto de experimentos en un entorno DevSecOps controlado, destinados a explotar las vulnerabilidades del sistema.
dc.description.abstractThe securitization of the software development lifecycle is a practice that enables companies to produce code that meets the three fundamental pillars of security: integrity, confidentiality, and availability of the processed data, as well as the services provided within their production applications. Currently, it is mandatory to integrate practices from the Secure Software Development Lifecycle (SSDLC) into the team’s tasks due to the increasing rise of security threats. Development teams are typically composed of both technical and non-technical personnel who participate in the early stages of the SSDLC, such as planning and design. However, many of these members lack knowledge in cybersecurity. In addition to the lack of knowledge, the integration of securitization tools into the SSDLC is hampered by the fact that these tools are applied manually and require significant time for construction. Furthermore, the lag in addressing new threats results in the final product being vulnerable to cyberattacks due to outdated security components or policies. This work, presented as a degree project for the Master’s in MACC, proposes the integration of Large Language Models (LLMs) and the methodology of Security Chaos Engineering (SCE) to facilitate the incorporation of security-focused tasks within the Secure Software Development Life Cycle (SSDLC). On one hand, LLMs automate the tasks of constructing and interpreting attack and defense trees, facilitating the generation of hypotheses about attack scenarios. On the other hand, SCE provides an evaluation of the system’s resilience, stability, and recovery capabilities, resulting from the execution of a set of experiments in a controlled DevSecOps environment aimed at exploiting system vulnerabilities.
dc.format.extent53 pp
dc.format.mimetypeapplication/pdf
dc.identifier.doihttps://doi.org/10.48713/10336_47638
dc.identifier.urihttps://repository.urosario.edu.co/handle/10336/47638
dc.language.isoeng
dc.publisherUniversidad del Rosariospa
dc.publisher.departmentEscuela de Ciencias e Ingenieríaspa
dc.publisher.programMaestría en Matemáticas Aplicadas y Ciencias de la Computaciónspa
dc.relation.relatedhttps://arxiv.org/pdf/2602.14106
dc.rightsAttribution-NonCommercial-ShareAlike 4.0 International*
dc.rights.accesRightsinfo:eu-repo/semantics/openAccess
dc.rights.accesoAbierto (Texto Completo)
dc.rights.urihttp://creativecommons.org/licenses/by-nc-sa/4.0/*
dc.source.bibliographicCitationTY - JOUR AU - Dawson, Maurice AU - Burrell, Darrell Norman AU - Rahim, Emad AU - Brewster, Stephen TI - Integrating software assurance into the software development life cycle (SDLC) JO - International Journal of Secure Software Engineering PY - 2010 VL - 1 IS - 3 SP - 1 EP - 15 ER - TY - CONF AU - Eian, Isaac Chin AU - Yong, Lim Ka AU - Li, Majesty Yeap Xiao AU - Hasmaddi, Noor Affan Bin Noor AU - Zahra, Fatima Tuz TI - Integration of security modules in software development lifecycle phases PY - 2020 ER - TY - RPRT AU - EY Financial Services Thought Gallery TI - GISS Cyber-Security Report Update PY - 2018 UR - https://eyfinancialservicesthoughtgallery.ie/wp-content/uploads/2018/11/GISS__Cyber-security-report-update_Digital.pdf ER - TY - JOUR AU - Chidukwani, A AU - Zander, S AU - Koutsakis, P TI - A survey on the cyber security of small-to-medium businesses: Challenges, research focus and recommendations JO - IEEE Access PY - 2022 VL - 10 SP - 85701 EP - 85719 ER - TY - RPRT AU - Mell, Peter AU - Grance, Timothy TI - The NIST Definition of Cloud Computing PY - 2011 PB - National Institute of Standards and Technology ER - TY - RPRT AU - U.S. Securities and Exchange Commission TI - Order instituting cease-and-desist proceedings pursuant to section 8A of the securities act of 1933 and section 21C of the securities exchange act of 1934 PY - 2018 PB - U.S. Securities and Exchange Commission ER - TY - CONF AU - Koc, Ugur AU - Saadatpanah, Parsa AU - Foster, Jeffrey S. AU - Porter, Adam A. TI - Learning a classifier for false positive error reports emitted by static code analysis tools T2 - MAPL 2017 PY - 2017 PB - Association for Computing Machinery ER - TY - JOUR AU - Szabo, Zoltan AU - Bilicki, Vilmos TI - A New Approach to Web Application Security: Utilizing GPT Language Models for Source Code Inspection JO - Future Internet PY - 2023 VL - 15 IS - 10 ER - TY - JOUR AU - Gupta, Maanak AU - Akiri, Charankumar AU - Aryal, Kshitiz AU - Parker, Eli AU - Praharaj, Lopamudra TI - From ChatGPT to ThreatGPT: Impact of Generative AI in Cybersecurity and Privacy JO - IEEE Access PY - 2023 VL - 11 SP - 80218 EP - 80245 ER - TY - JOUR AU - McIntosh, Timothy AU - Liu, Tong AU - Susnjak, Teo AU - Alavizadeh, Hooman AU - Ng, Alex AU - Nowrozy, Raza AU - Watters, Paul TI - Harnessing GPT-4 for generation of cybersecurity GRC policies: A focus on ransomware attack mitigation JO - Computers & Security PY - 2023 ER - TY - CONF AU - Nair, Madhav AU - Sadhukhan, Rajat AU - Mukhopadhyay, Debdeep TI - How Hardened is Your Hardware? Guiding ChatGPT to Generate Secure Hardware Resistant to CWEs PY - 2023 PB - Springer ER - TY - CONF AU - Cankar, Matija AU - Petrovic, Nenad AU - Costa, Joao Pita AU - Cernivec, Ales AU - Antic, Jan AU - Martincic, Tomaz AU - Stepec, Dejan TI - Security in DevSecOps: Applying Tools and Machine Learning to Verification and Monitoring Steps PY - 2023 PB - ACM ER - TY - CONF AU - Gadyatskaya, Olga AU - Papuc, Dalia TI - ChatGPT Knows Your Attacks: Synthesizing Attack Trees Using LLMs PY - 2023 PB - Springer ER - TY - PREPRINT AU - Zhang, Yadong AU - Mao, Shaoguang AU - Ge, Tao AU - Wang, Xun AU - Wynter, Adrian de AU - Xia, Yan AU - Wu, Wenshan AU - Song, Ting AU - Lan, Man AU - Wei, Furu TI - LLM as a mastermind: A survey of strategic reasoning with large language models PY - 2024 ER - TY - CONF AU - Diaf, Alaeddine AU - Korba, Abdelaziz Amara AU - Karabadji, Nour Elislem AU - Ghamri-Doudane, Yacine TI - Beyond detection: Leveraging large language models for cyber attack prediction in IoT networks PY - 2024 PB - IEEE ER - TY - PREPRINT AU - Zhang, Ying AU - Zhou, Xiaoyan AU - Wen, Hui AU - Niu, Wenjia AU - Liu, Jiqiang AU - Wang, Haining AU - Li, Qiang TI - Tactics, techniques, and procedures in interpreted malware: A zero-shot generation with large language models PY - 2024 ER - TY - PREPRINT AU - Wang, Lingzhi AU - Li, Zhenyuan AU - Guo, Zonghan AU - Jiang, Yi AU - Jung, Kyle AU - Thiagarajan, Kedar AU - Wang, Jiahui AU - Wang, Zhengkai AU - Wei, Emily AU - Shen, Xiangmin AU - Chen, Yan TI - From sands to mansions: Simulating full attack chain with LLM-organized knowledge PY - 2024 ER - TY - CONF AU - Haryanto, Christoforus Yoga AU - Elvira, Anne Maria AU - Nguyen, Trung Duc AU - Vu, Minh Hieu AU - Hartanto, Yoshiano AU - Lomempow, Emily AU - Arakala, Arathi TI - Contextualized AI for cyber defense: An automated survey using LLMs PY - 2024 PB - IEEE ER - TY - CONF AU - Loevenich, Johannes F. AU - Adler, Erik AU - Becue, Adrien AU - Velazquez, Alexander AU - Wrona, Konrad AU - Boshnakov, Vasil AU - Falkcrona, Jerry AU - Nordbotten, Nils AU - Worthington, Olwen L. AU - Roning, Juha AU - Rigolin, Roberto AU - Lopes, F. TI - Training autonomous cyber defense agents: Challenges and opportunities in military networks PY - 2024 PB - IEEE ER - TY - GEN TI - Chaoslingr: Introducing security into chaos testing PY - 2019 UR - https://github.com/Optum/ChaoSlingr ER - TY - JOUR AU - Torkura, Kennedy A. AU - Sukmana, Muhammad I.H. AU - Cheng, Feng AU - Meinel, Christoph TI - CloudStrike: Chaos Engineering for Security and Resiliency in Cloud Infrastructure JO - IEEE Access PY - 2020 VL - 8 SP - 123044 EP - 123060 ER - TY - CONF AU - Konstantinou, Charalambos AU - Stergiopoulos, George AU - Parvania, Masood AU - Esteves-Verissimo, Paulo TI - Chaos Engineering for Enhanced Resilience of Cyber-Physical Systems PY - 2021 PB - IEEE ER - TY - CONF AU - Sharieh, Salah AU - Ferworn, Alexander TI - Securing APIs and Chaos Engineering PY - 2021 PB - IEEE ER - TY - CONF AU - Bailey, Thomas AU - Marchione, Patrick AU - Swartz, Peter AU - Salih, Raed AU - Clark, Michael AU - Denz, Robert TI - Measuring resiliency of system of systems using chaos engineering experiments PY - 2022 ER - TY - GEN AU - Jolak, Rodi AU - Mohamad, Mazen AU - Avula, Ramana Reddy AU - Meek, Jason AU - Astrom, Alexander TI - SCENE: Guidelines for Security Chaos Engineering based on a systematic literature review PY - 2025 ER - TY - JOUR AU - Elumalai, Dhanasekar TI - The role of chaos engineering in DevSecOps: Strengthening security and compliance in agile JO - The American Journal of Engineering and Technology PY - 2025 VL - 7 IS - 6 SP - 240 EP - 247 ER - TY - JOUR AU - Palacios Chavarro, Sara AU - Nespoli, Pantaleone AU - Diaz-Lopez, Daniel AU - Nino Roa, Yury TI - On the Way to Automatic Exploitation of Vulnerabilities and Validation of Systems Security through Security Chaos Engineering JO - Big Data and Cognitive Computing PY - 2023 VL - 7 IS - 1 ER - TY - CONF AU - Bedoya, Martin AU - Palacios, Sara AU - Diaz-Lopez, Daniel AU - Nespoli, Pantaleone AU - Laverde, Estefania AU - Suarez, Sebastian TI - Securing Cloud-Based Military Systems with Security Chaos Engineering and Artificial Intelligence PY - 2023 PB - ACM ER - TY - JOUR AU - Bedoya, Martin AU - Palacios, Sara AU - Diaz-Lopez, Daniel AU - Laverde, Estefania AU - Nespoli, Pantaleone TI - Enhancing DevSecOps practice with large language models and security chaos engineering JO - International Journal of Information Security PY - 2024 VL - 23 IS - 6 SP - 3765 EP - 3788 ER -
dc.source.instnameinstname:Universidad del Rosario
dc.source.reponamereponame:Repositorio Institucional EdocURspa
dc.subjectIngeniería del caos
dc.subjectSSDLC
dc.subjectLLM
dc.subjectCiclo de vida de software
dc.subjectÁrbol de ataque
dc.subjectModelos de Lenguaje Extendido
dc.subjectDevSecOps
dc.subjectCloud
dc.subjectCiberseguridad
dc.subjectExperimentos de ataque
dc.subjectExplotación de vulnerabilidades
dc.subjectCiberdefensa
dc.subject.keywordLarge Language Models
dc.subject.keywordSecure Software Development Life Cycle
dc.subject.keywordSecurity Chaos Engineering
dc.subject.keywordAttack-Defense Tree
dc.titleResilient DevSecOps: leveraging large language models and chaos engineering for automated threat hypothesis validation
dc.title.TranslatedTitleDevSecOps Resiliente: aprovechamiento de modelos de lenguaje extensos e ingeniería del caos para la validación automatizada de hipótesis de amenazas
dc.title.alternativeLeveraging Large Language Models and Chaos Engineering for Automated Threat Hypothesis Validation
dc.title.alternativeResilient DevSecOps
dc.typemasterThesis
dc.type.hasVersioninfo:eu-repo/semantics/acceptedVersion
dc.type.spaDocumento de conferencia
local.department.reportEscuela de Ciencias e Ingeniería
local.regionesBogotá
Archivos
Bloque original
Mostrando1 - 1 de 1
Miniatura
Nombre:
Resilient_DevSecOps_Miguel_Betancourt.pdf
Tamaño:
2.15 MB
Formato:
Adobe Portable Document Format
Descripción:
Descargar
Colecciones
Maestría en Matemáticas Aplicadas y Ciencias de la Computación