Integración de analizadores automáticos de código

Abstract

El presente trabajo tiene como finalidad estudiar distintas herramientas SAST,DAST,IAST y SCA mencionadas en la web de OWASP. Se seleccionan tres diferentes complementarias entre sí y proponiendo su integración dentro del ciclo de desarrollo y despliegue de una web basada en WordPress y construida con componentes de código abierto por un pequeño equipo. El objetivo es encontrar una solución que no castigue el ritmo de trabajo durante el proceso de desarrollo ni requiera mayor esfuerzo de aprendizaje, y consiga reducir significativamente el número de vulnerabilidades. Para alcanzar el objetivo, el trabajo se divide en dos partes, analizando primero las partes fuertes y débiles, funcionamiento y la forma en que presentan sus resultados varias herramientas. Seguidamente, se procede a integrar las herramientas seleccionadas en el SDLC, implementando una metodología para reducir falsos positivos a través de una estrategia pragmática de aprendizaje de buenas prácticas de seguridad de forma iterativa. La solución propuesta está compuesta íntegramente por herramientas de código abierto amadrinadas por la propia OWASP: ASST (SAST), ZAP (DAST) y Dependency-Check (SCA). Se propone también cómo integrar cada herramienta en las distintas fases y cómo aprovechar sus resultados en un proceso de mejora continua. A modo de ejemplo, se muestran los resultados de análisis sobre una web real desarrollada hace año y medio en WordPress. A pesar de las evidentes diferencias en cuanto funcionalidad e integración entre herramientas comerciales potentes y soluciones libres, éstas se han mostrado capaces de adaptarse al contexto con gran potencial de mejora y ofreciendo oportunidades de aprendizaje.

El present treball té com a finalitat estudiar diferents eines SAST, DAST, IAST i SCA esmentades al web de OWASP. Es seleccionen tres diferents complementàries entre si i proposant la seva integració dins de l'cicle de desenvolupament i desplegament d'un web basat en WordPress i construïda amb components de codi obert per un petit equip. L'objectiu és trobar una solució que no castigui el ritme de treball durant el procés de desenvolupament ni requereixi major esforç d'aprenentatge, i aconsegueixi reduir significativament el nombre de vulnerabilitats. Per assolir l'objectiu, el treball es divideix en dues parts, analitzant primer les parts fortes i febles, funcionament i la forma en què presenten els seus resultats diverses eines. Seguidament, es procedeix a integrar les eines seleccionades en el SDLC, implementant una metodologia per reduir falsos positius a través d'una estratègia pragmàtica d'aprenentatge de bones pràctiques de seguretat de forma iterativa. La solució proposada està composta íntegrament per eines de codi obert amadrinadas per la pròpia OWASP: ASST (SAST), ZAP (DAST) i Dependency-Check (SCA). Es proposa també com integrar cada eina en les diferents fases i com aprofitar els seus resultats en un procés de millora contínua. A tall d'exemple, es mostren els resultats d'anàlisi sobre un web real desenvolupada fa any i mig a WordPress. Tot i les evidents diferències quant funcionalitat i integració entre eines comercials potents i solucions lliures, aquestes s'han mostrat capaços d'adaptar-se al context amb gran potencial de millora i oferint oportunitats d'aprenentatge.

This essay aims to study different SAST, DAST, IAST and SCA tools mentioned in the OWASP website. Three different complementing tools are selected, offering a way to integrate them within the development and deployment cycle of a WordPress-based website built with open source components by a small team. The goal is to find a solution that doesn't impact the workflow of the development process, doesn't require a high learning curve, and significantly educes the number of vulnerabilities. To achieve the objective, the work is divided into two parts, first analysing the strengths and weaknesses, performance and the way in which various tools present their results. We then proceed to integrate the selected tools into the SDLC, implementing a methodology to reduce false positives through a pragmatic strategy of learning good security practices in an iterative way. The proposed solution is composed entirely of open source tools backed by OWASP itself: ASST (SAST), ZAP (DAST) and Dependency-Check (SCA). There's also a proposal of how to integrate each tool in the different phases and how to take advantage of their results in a process of continuous improvement. As an example, the results of analyses on a real website developed a year and a half ago in WordPress are shown. Despite the obvious differences in functionality and integration capabilities between powerful commercial tools and these open source solutions, the latter have proven to be able to adapt to the context with great potential for improvement and learning opportunities.