Anti-Patterns in Infrastructure as Code

Rahman, Akond

doi:10.1109/icst.2018.00057

Cited by 6 publications

(6 citation statements)

References 72 publications

Supporting

Mentioning

Contrasting

Unclassified

Order By: Relevance

“…The project is not a clone or copy of another existing project. [26], [27] Exploit protection CSRF attacks H 17 (6) Not using TLS for HTTP communication [22], [26], [28] Exploit protection Man-in-the-middle H 15…”

Section: Security Anti-patterns In Spring Securitymentioning

confidence: 99%

“…Insecure defaults (7) Using Bcrypt with insecure params [24] Authentication Brute-force H 11 (8) Using MD5 in remember me cookie [23], [28] Authentication Brute-force H N/A (9) Lack of req. throttling policy per API key [22], [33] Exploit protection DoS attacks L N/A (10) Absence of content security policy (CSP) [26] Exploit protection Code injection L N/A…”

Section: Security Anti-patterns In Spring Securitymentioning

confidence: 99%

See 1 more Smart Citation

Coding Practices and Recommendations of Spring Security for Enterprise Applications

Islam¹,

Rahaman²,

Meng³

et al. 2020

Preprint

View full text Add to dashboard Cite

Spring security is tremendously popular among practitioners for its ease of use to secure enterprise applications. In this paper, we study the application framework misconfiguration vulnerabilities in the light of Spring security, which is relatively understudied in the existing literature. Towards that goal, we identify 6 types of security anti-patterns and 4 insecure vulnerable defaults by conducting a measurementbased approach on 28 Spring applications. Our analysis shows that security risks associated with the identified security antipatterns and insecure defaults can leave the enterprise application vulnerable to a wide range of high-risk attacks. To prevent these high-risk attacks, we also provide recommendations for practitioners. Consequently, our study has contributed one update to the official Spring security documentation while other security issues identified in this study are being considered for future major releases by Spring security community.

show abstract

Section: Security Anti-patterns In Spring Securitymentioning

confidence: 99%

Section: Security Anti-patterns In Spring Securitymentioning

confidence: 99%

Coding Practices and Recommendations of Spring Security for Enterprise Applications

Islam¹,

Rahaman²,

Meng³

et al. 2020

Preprint

View full text Add to dashboard Cite

show abstract

“…In the realm of DevOps, Infrastructure as Code (IaC) has emerged as a pivotal technology, offering automation and codedriven management for infrastructure deployment and configuration. IaC empowers organizations to automate a wide array of tasks, encompassing installations, configurations, provisioning, and deployments across a spectrum of resources, including servers, operating systems, virtual machines, containers, and applications, whether on the cloud or on-premises environments [1]. As DevOps practices have gained widespread adoption, IaC has become an integral part of modern software development and deployment pipelines.…”

Section: Introductionmentioning

confidence: 99%

“…In our work, we further perform security testing on IaC core components using static analyzers. Additionally, other studies [1,11] have characterized IaC scripts properties. However, because our study case involves two more components, we could not rely on those characteristics only.…”

Section: Introductionmentioning

confidence: 99%

Security Vulnerabilities in Infrastructure as Code: What, How Many, and Who?

War,

Habib,

Diallo

et al. 2023

Preprint

View full text Add to dashboard Cite

Infrastructure as Code (IaC) is a pivotal approach for deploying and managing IT systems and services using scripts, offering flexibility and numerous benefits. However, the presence of security flaws in IaC scripts can have severe consequences, as exemplified by the recurring exploits of Cloud Web Services. Recent studies in the literature have investigated IaC security issues, but they often focus on individual components (IaC tools or scripts), providing only preliminary insights. Our research extends the current knowledge by conducting a comprehensive investigation into various aspects of IaC security, encompassing its core components. We explore vulnerabilities in terms of types, their predominant locations, contributor responsibilities for introducing vulnerabilities, and more. Our methodology relies on widely adopted static security testing tools, which analyze over 1600 repositories to identify IaC vulnerabilities. Our empirical study yields valuable observations, highlighting severe and recurrent vulnerabilities within IaC, while also categorizing their severity and types. We delve deeper into vulnerability patterns, examining source code, dependencies, and manifest files across all IaC components, including tools, scripts, and add-ons (libraries or plugin tools). The study uncovers that IaC components are plagued by exploitable vulnerabilities that span all ten categories of security bugs outlined in OWASP 2021. Furthermore, our investigation reveals that even when maintainers employ security tools to address vulnerabilities, they do not integrate them systematically into their automation routines. Consequently, we propose that IT teams need to foster stronger collaboration across DevOps profiles (developers and IT operators) and break down the boundaries with security operators to enhance Infrastructure as Code's security posture through the adoption of DevSecOps practices.

show abstract

“…Figura 2.4 -Herramientas más utilizadas a la hora de realizar tareas de IaC en la actualidad. Fuente: Propia.El código debe desarrollarse y administrarse utilizando los mismos procesos que se aplican sobre cualquier otro desarrollo de software; por ejemplo, debe diseñarse, documentarse, probarse y almacenarse en un repositorio de control de versiones[RAH18b] [AWS17].Los operadores de sistemas de tecnología de la información (Ops) han empleado durante mucho tiempo este tipo de tareas a través de secuencias de comandos ad hoc de tareas, tecnología y prácticas de IaC. un cambio realizado durante el desarrollo, la integración o incluso en el entorno productivo, así como también para respaldar la recreación y depuración de problemas.2.4.3 -Integración y despliegue continuoEn la actualidad los sistemas de software se están volviendo cada vez más complejos y distribuidos, a menudo involucrando equipos de desarrollo multidisciplinarios que trabajan simultáneamente en diferentes componentes de un proyecto modular común[DEJ17].…”

unclassified

Plataforma colaborativa, distribuida, escalable y de bajo costo basada en microservicios, contenedores, dispositivos móviles y servicios en la Nube para tareas de cómputo intensivo

Petrocelli¹

View full text Add to dashboard Cite

A la hora de resolver tareas de cómputo intensivo de manera distribuida y paralela, habitualmente se utilizan recursos de hardware x86 (CPU/GPU) e infraestructura especializada (Grid, Cluster, Nube) para lograr un alto rendimiento. En sus inicios los procesadores, coprocesadores y chips x86 fueron desarrollados para resolver problemas complejos sin tener en cuenta su consumo energético. Dado su impacto directo en los costos y el medio ambiente, optimizar el uso, refrigeración y gasto energético, así como analizar arquitecturas alternativas, se convirtió en una preocupación principal de las organizaciones. Como resultado, las empresas e instituciones han propuesto diferentes arquitecturas para implementar las características de escalabilidad, flexibilidad y concurrencia. Con el objetivo de plantear una arquitectura alternativa a los esquemas tradicionales, en esta tesis se propone ejecutar las tareas de procesamiento reutilizando las capacidades ociosas de los dispositivos móviles. Estos equipos integran procesadores ARM los cuales, en contraposición a las arquitecturas tradicionales x86, fueron desarrollados con la eficiencia energética como pilar fundacional, ya que son mayormente alimentados por baterías. Estos dispositivos, en los últimos años, han incrementado su capacidad, eficiencia, estabilidad, potencia, así como también masividad y mercado; mientras conservan un precio, tamaño y consumo energético reducido. A su vez, cuentan con lapsos de ociosidad durante los períodos de carga, lo que representa un gran potencial que puede ser reutilizado. Para gestionar y explotar adecuadamente estos recursos, y convertirlos en un centro de datos de procesamiento intensivo; se diseñó, desarrolló y evaluó una plataforma distribuida, colaborativa, elástica y de bajo costo basada en una arquitectura compuesta por microservicios y contenedores orquestados con Kubernetes en ambientes de Nube y local, integrada con herramientas, metodologías y prácticas DevOps. El paradigma de microservicios permitió que las funciones desarrolladas sean fragmentadas en pequeños servicios, con responsabilidades acotadas. Las prácticas DevOps permitieron construir procesos automatizados para la ejecución de pruebas, trazabilidad, monitoreo e integración de modificaciones y desarrollo de nuevas versiones de los servicios. Finalmente, empaquetar las funciones con todas sus dependencias y librerías en contenedores ayudó a mantener servicios pequeños, inmutables, portables, seguros y estandarizados que permiten su ejecución independiente de la arquitectura subyacente. Incluir Kubernetes como Orquestador de contenedores, permitió que los servicios se puedan administrar, desplegar y escalar de manera integral y transparente, tanto a nivel local como en la Nube, garantizando un uso eficiente de la infraestructura, gastos y energía. Para validar el rendimiento, escalabilidad, consumo energético y flexibilidad del sistema, se ejecutaron diversos escenarios concurrentes de transcoding de video. De esta manera se pudo probar, por un lado, el comportamiento y rendimiento de diversos dispositivos móviles y x86 bajo diferentes condiciones de estrés. Por otro lado, se pudo mostrar cómo a través de una carga variable de tareas, la arquitectura se ajusta, flexibiliza y escala para dar respuesta a las necesidades de procesamiento. Los resultados experimentales, sobre la base de los diversos escenarios de rendimiento, carga y saturación planteados, muestran que se obtienen mejoras útiles sobre la línea de base de este estudio y que la arquitectura desarrollada es lo suficientemente robusta para considerarse una alternativa escalable, económica y elástica, respecto a los modelos tradicionales.

show abstract

Anti-Patterns in Infrastructure as Code

Cited by 6 publications

References 72 publications

Coding Practices and Recommendations of Spring Security for Enterprise Applications

Coding Practices and Recommendations of Spring Security for Enterprise Applications

Security Vulnerabilities in Infrastructure as Code: What, How Many, and Who?

Plataforma colaborativa, distribuida, escalable y de bajo costo basada en microservicios, contenedores, dispositivos móviles y servicios en la Nube para tareas de cómputo intensivo

Contact Info

Product

Resources

About