Analysis of tools for static security testing of applications
Analýza nástrojů pro statické testování bezpečnosti aplikací
Typ dokumentu
bakalářská prácebachelor thesis
Autor
Leonid Golovyrin
Vedoucí práce
Kokeš Josef
Oponent práce
Frajták Karel
Studijní obor
SoftwareStudijní program
Otevřená informatikaInstituce přidělující hodnost
katedra počítačůPráva
A university thesis is a work protected by the Copyright Act. Extracts, copies and transcripts of the thesis are allowed for personal use only and at one?s own expense. The use of thesis should be in compliance with the Copyright Act http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf and the citation ethics http://knihovny.cvut.cz/vychova/vskp.htmlVysokoškolská závěrečná práce je dílo chráněné autorským zákonem. Je možné pořizovat z něj na své náklady a pro svoji osobní potřebu výpisy, opisy a rozmnoženiny. Jeho využití musí být v souladu s autorským zákonem http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf a citační etikou http://knihovny.cvut.cz/vychova/vskp.html
Metadata
Zobrazit celý záznamAbstrakt
Tato bakalářská práce představuje analýzu nástrojů pro statické testování zabezpečení aplikací (SAST) obecného účelu, které jsou dostupné široké veřejnosti a nabízejí bezplatné verze. Studie se zaměřuje na integraci těchto nástrojů do životního cyklu vývoje softwaru (SDLC) identifikací a porovnáním nejlepších nástrojů, jako jsou CodeQL, Semgrep a SonarQube. Pro zkoumání jejich odlišných funkcí byl navržen a použit snadno rozšiřitelný framework analýzy metrik pravidel. Za použití platformy GitLab byl implementován praktický SAST projekt, který demonstruje integraci vybraných SAST nástrojů. Tento projekt byl následně využit pro srovnání výchozích konfigurací SAST nástrojů. Analýza ukázala rozdíly v přesnosti detekce zranitelností a generování falešně pozitivních výsledků. Bylo také provedeno hodnocení použitelnosti funkcionality vlastních pravidel. Studie nabízí cenné poznatky a doporučení, která usnadňují výběr a přijetí vhodných SAST nástrojů. This thesis presents a comprehensive evaluation of general-purpose Static Application Security Testing (SAST) tools available to the general public and offering free versions. The study focused on the integration of these tools into the Software Development Life Cycle (SDLC) by identifying and comparing top-performing tools such as CodeQL, Semgrep, and SonarQube. An easily extensible rule analysis framework was employed to support the examination of their distinct features such as the metrics of their rules. A practical SAST project was implemented using GitLab, demonstrating the integration of multiple SAST tools. This project was then leveraged to compare the default configurations of the SAST tools. The analysis clarified the precision of the tools and their tendency to generate false positives. Additionally, the usability of custom rules was assessed. The study offers valuable insights and recommendations, helping to facilitate the selection and adoption of SAST tools.
Kolekce
- Bakalářské práce - 13136 [1230]