Metodología de benchmark de herramientas SAST

La evaluación de herramientas para pruebas de seguridad en aplicaciones es esencial cuando las empresas consideran invertir tiempo y esfuerzo en establecer procesos de seguridad en el SDLC. Por ello, es crucial determinar las mejores formas de llevar a cabo un estudio riguroso y una comparación, bus...

Descripción completa

Detalles Bibliográficos
Autor: de Vega Martín, Miguel E.
Tipo de recurso: tesis de maestría
Fecha de publicación:2024
País:España
Institución:Universitat Oberta de Catalunya (UOC)
Repositorio:O2, repositorio institucional de la UOC
OAI Identifier:oai:openaccess.uoc.edu:10609/149610
Acceso en línea:http://hdl.handle.net/10609/149610
Access Level:acceso abierto
Palabra clave:SAST
DAST
Benchmark
Computer security -- TFM
Seguretat informàtica -- TFM
Descripción
Sumario:La evaluación de herramientas para pruebas de seguridad en aplicaciones es esencial cuando las empresas consideran invertir tiempo y esfuerzo en establecer procesos de seguridad en el SDLC. Por ello, es crucial determinar las mejores formas de llevar a cabo un estudio riguroso y una comparación, buscando medir y cotejar de la manera más objetiva posible. Para las organizaciones, es primordial que estas herramientas sean efectivas en la detección de vulnerabilidades, que generen pocos falsos positivos, que ofrezcan interoperabilidad con sistemas de gestión de vulnerabilidades y que proporcionen informes de alta calidad en términos de detección y recomendaciones de mitigación. El objetivo de este TFM es establecer una metodología de pruebas basándose en otras ya existentes, extendiéndola si es necesario con parámetros de comparación pertinentes para las organizaciones. Adicionalmente, como objetivo secundario, se llevará a cabo una prueba de concepto para obtener métricas sobre aciertos, falsos positivos y falsos negativos, desarrollando un sistema que compare el resultado de una herramienta con lo esperado, alineando ambas en un formato estandarizado como el SARIF.