Integration of automated code analysis tools

Abstract

This paper aims to research and explain how to improve the security of software products with the use of automated code analysis tools and their integration in the software development lifecycle in an efficient way. The automated code analysis tools are categorized in four groups: SAST, DAST, IAST and SCA. This paper explains each of these groups, give examples of current products and show in which deployment tiers are integrated. Once the technology is explained, a real software development environment is set up, consisting of a source code repository, a continuous integration / continuous delivery server and the automated code analysis tools. Finally, we integrate all the components to show how can any company or developer take advantage of these tools, making their final product more secure.

Este artículo pretende investigar y explicar cómo mejorar la seguridad de los productos de software con el uso de herramientas automatizadas de análisis de código y su integración en el ciclo de vida de desarrollo de software de forma eficiente. Las herramientas automatizadas de análisis de código se clasifican en cuatro grupos: SAST, DAST, IAST y SCA. En este artículo se explica cada uno de estos grupos, se dan ejemplos de productos actuales y se muestra en qué niveles de despliegue se integran. Una vez explicada la tecnología, se configura un entorno real de desarrollo de software, compuesto por un repositorio de código fuente, un servidor de integración continua / entrega continua y las herramientas de análisis automatizado de código. Por último, se integran todos los componentes para mostrar cómo puede cualquier empresa o desarrollador sacar partido de estas herramientas, haciendo que su producto final sea más seguro.

Aquest article pretén investigar i explicar com millorar la seguretat dels productes de programari amb l'ús d'eines automatitzades d'anàlisis de codi i la seva integració en el cicle de vida de desenvolupament de programari de manera eficient. Les eines automatitzades d'anàlisis de codi es classifiquen en quatre grups: SAST, DAST, IAST i SCA. En aquest article s'explica cadascun d'aquests grups, es donen exemples de productes actuals i es mostra en quins nivells de desplegament s'integren. Una vegada explicada la tecnologia, es configura un entorn real de desenvolupament de programari, compost per un repositori de codi font, un servidor d'integració contínua / lliurament continu i les eines d'anàlisi automatitzada de codi. Finalment, s'integren tots els components per a mostrar com pot qualsevol empresa o desenvolupador treure partit d'aquestes eines, fent que el seu producte final sigui més segur.