Skip to content

SamBleed/devsecops-pentest-lab

Repository files navigation

Automated Pentest Lab & DevSecOps Audit 🛡️🐳

Este proyecto consiste en el despliegue de un laboratorio de ciberseguridad orquestado con Docker, diseñado para simular un ciclo completo de auditoría: desde el análisis de imágenes (SCA) hasta el escaneo dinámico de red (DAST) y la validación de exploits.

🏗️ Arquitectura del Laboratorio

El entorno utiliza una red aislada (172.18.0.0/16) para segmentar las herramientas de ataque de los objetivos vulnerables.

  • Atacante: Kali Linux (Metasploit, Nmap, Nikto).
  • Auditoría: Nessus Essentials & Trivy.
  • Víctimas: DVWA (Damn Vulnerable Web App) & Metasploitable3.

🚀 Cómo desplegar

  1. Clonar el repositorio:

    git clone git@github.com-devsecops:SamBleed/devsecops-pentest-lab.git
    cd devsecops-pentest-lab
  2. Levantar el laboratorio:

    docker compose up -d

🛡️ Automatización DevSecOps (CI/CD)

Este repositorio incluye un flujo de trabajo automatizado con GitHub Actions que garantiza la integridad del código en cada cambio:

  • Escaneo de Vulnerabilidades (SCA): Integración con Trivy para analizar las imágenes de contenedores automáticamente.
  • Detección de Secretos: Bloqueo preventivo en caso de detectar llaves privadas o credenciales expuestas.
  • Estado del Pipeline:

🔍 Fases de la Auditoría

1. Análisis Estático (SCA) con Trivy

Escaneo de imágenes base antes de su ejecución para identificar vulnerabilidades en librerías de sistema.

2. Análisis Dinámico (DAST) con Nessus

Escaneo de red activo sobre los activos vivos para detectar configuraciones inseguras.

  • Hallazgo clave: IP Forwarding Enabled en Metasploitable3.

3. Fase de Pentesting (Kali Linux)

Validación manual de hallazgos utilizando Metasploit Framework y scripts personalizados de Bash.

📚 Documentación del Proyecto

🛠️ Tecnologías utilizadas

  • Docker & Docker Compose (Orquestación)
  • GitHub Actions (CI/CD & Security Automation)
  • Kali Linux (Pentesting)
  • Nessus (Vulnerability Management)
  • Trivy (Container Security)

Mantenido por SamBleed

About

Automated Pentest Lab & DevSecOps Pipeline. Auditoría de contenedores (SCA), red (DAST) y automatización de seguridad con GitHub Actions (Trivy). Optimized for Kali Linux & Docker environments.

Resources

License

Stars

Watchers

Forks

Releases

No releases published

Packages

 
 
 

Contributors