Este proyecto consiste en el despliegue de un laboratorio de ciberseguridad orquestado con Docker, diseñado para simular un ciclo completo de auditoría: desde el análisis de imágenes (SCA) hasta el escaneo dinámico de red (DAST) y la validación de exploits.
El entorno utiliza una red aislada (172.18.0.0/16) para segmentar las herramientas de ataque de los objetivos vulnerables.
- Atacante: Kali Linux (Metasploit, Nmap, Nikto).
- Auditoría: Nessus Essentials & Trivy.
- Víctimas: DVWA (Damn Vulnerable Web App) & Metasploitable3.
-
Clonar el repositorio:
git clone git@github.com-devsecops:SamBleed/devsecops-pentest-lab.git cd devsecops-pentest-lab -
Levantar el laboratorio:
docker compose up -d
Este repositorio incluye un flujo de trabajo automatizado con GitHub Actions que garantiza la integridad del código en cada cambio:
- Escaneo de Vulnerabilidades (SCA): Integración con Trivy para analizar las imágenes de contenedores automáticamente.
- Detección de Secretos: Bloqueo preventivo en caso de detectar llaves privadas o credenciales expuestas.
- Estado del Pipeline:
Escaneo de imágenes base antes de su ejecución para identificar vulnerabilidades en librerías de sistema.
Escaneo de red activo sobre los activos vivos para detectar configuraciones inseguras.
- Hallazgo clave:
IP Forwarding Enableden Metasploitable3.
Validación manual de hallazgos utilizando Metasploit Framework y scripts personalizados de Bash.
- Docker & Docker Compose (Orquestación)
- GitHub Actions (CI/CD & Security Automation)
- Kali Linux (Pentesting)
- Nessus (Vulnerability Management)
- Trivy (Container Security)
Mantenido por SamBleed