Integración de analizadores automáticos de código
El presente trabajo tiene como finalidad estudiar distintas herramientas SAST,DAST,IAST y SCA mencionadas en la web de OWASP. Se seleccionan tres diferentes complementarias entre sí y proponiendo su integración dentro del ciclo de desarrollo y despliegue de una web basada en WordPress y construida c...
| Autor: | |
|---|---|
| Tipo de recurso: | tesis de maestría |
| Fecha de publicación: | 2021 |
| País: | España |
| Institución: | Universitat Oberta de Catalunya (UOC) |
| Repositorio: | O2, repositorio institucional de la UOC |
| OAI Identifier: | oai:openaccess.uoc.edu:10609/131946 |
| Acceso en línea: | http://hdl.handle.net/10609/131946 |
| Access Level: | acceso abierto |
| Palabra clave: | OWASP SDLC bugs Computer security -- TFM Seguretat informàtica -- TFM Seguridad informática -- TFM |
| Sumario: | El presente trabajo tiene como finalidad estudiar distintas herramientas SAST,DAST,IAST y SCA mencionadas en la web de OWASP. Se seleccionan tres diferentes complementarias entre sí y proponiendo su integración dentro del ciclo de desarrollo y despliegue de una web basada en WordPress y construida con componentes de código abierto por un pequeño equipo. El objetivo es encontrar una solución que no castigue el ritmo de trabajo durante el proceso de desarrollo ni requiera mayor esfuerzo de aprendizaje, y consiga reducir significativamente el número de vulnerabilidades. Para alcanzar el objetivo, el trabajo se divide en dos partes, analizando primero las partes fuertes y débiles, funcionamiento y la forma en que presentan sus resultados varias herramientas. Seguidamente, se procede a integrar las herramientas seleccionadas en el SDLC, implementando una metodología para reducir falsos positivos a través de una estrategia pragmática de aprendizaje de buenas prácticas de seguridad de forma iterativa. La solución propuesta está compuesta íntegramente por herramientas de código abierto amadrinadas por la propia OWASP: ASST (SAST), ZAP (DAST) y Dependency-Check (SCA). Se propone también cómo integrar cada herramienta en las distintas fases y cómo aprovechar sus resultados en un proceso de mejora continua. A modo de ejemplo, se muestran los resultados de análisis sobre una web real desarrollada hace año y medio en WordPress. A pesar de las evidentes diferencias en cuanto funcionalidad e integración entre herramientas comerciales potentes y soluciones libres, éstas se han mostrado capaces de adaptarse al contexto con gran potencial de mejora y ofreciendo oportunidades de aprendizaje. |
|---|