Integración de analizadores automáticos de código

El presente trabajo tiene como finalidad estudiar distintas herramientas SAST,DAST,IAST y SCA mencionadas en la web de OWASP. Se seleccionan tres diferentes complementarias entre sí y proponiendo su integración dentro del ciclo de desarrollo y despliegue de una web basada en WordPress y construida c...

Descripción completa

Detalles Bibliográficos
Autor: Fernández Román, Urko
Tipo de recurso: tesis de maestría
Fecha de publicación:2021
País:España
Institución:Universitat Oberta de Catalunya (UOC)
Repositorio:O2, repositorio institucional de la UOC
OAI Identifier:oai:openaccess.uoc.edu:10609/131946
Acceso en línea:http://hdl.handle.net/10609/131946
Access Level:acceso abierto
Palabra clave:OWASP
SDLC
bugs
Computer security -- TFM
Seguretat informàtica -- TFM
Seguridad informática -- TFM
Descripción
Sumario:El presente trabajo tiene como finalidad estudiar distintas herramientas SAST,DAST,IAST y SCA mencionadas en la web de OWASP. Se seleccionan tres diferentes complementarias entre sí y proponiendo su integración dentro del ciclo de desarrollo y despliegue de una web basada en WordPress y construida con componentes de código abierto por un pequeño equipo. El objetivo es encontrar una solución que no castigue el ritmo de trabajo durante el proceso de desarrollo ni requiera mayor esfuerzo de aprendizaje, y consiga reducir significativamente el número de vulnerabilidades. Para alcanzar el objetivo, el trabajo se divide en dos partes, analizando primero las partes fuertes y débiles, funcionamiento y la forma en que presentan sus resultados varias herramientas. Seguidamente, se procede a integrar las herramientas seleccionadas en el SDLC, implementando una metodología para reducir falsos positivos a través de una estrategia pragmática de aprendizaje de buenas prácticas de seguridad de forma iterativa. La solución propuesta está compuesta íntegramente por herramientas de código abierto amadrinadas por la propia OWASP: ASST (SAST), ZAP (DAST) y Dependency-Check (SCA). Se propone también cómo integrar cada herramienta en las distintas fases y cómo aprovechar sus resultados en un proceso de mejora continua. A modo de ejemplo, se muestran los resultados de análisis sobre una web real desarrollada hace año y medio en WordPress. A pesar de las evidentes diferencias en cuanto funcionalidad e integración entre herramientas comerciales potentes y soluciones libres, éstas se han mostrado capaces de adaptarse al contexto con gran potencial de mejora y ofreciendo oportunidades de aprendizaje.