May 5, 2017
Estudiantes: Mario del Riego, Eduardo Verde
Tutores: Gustavo Betarte, Marcelo Rodríguez, Felipe Zipitría
Este proyecto propone estudiar las técnicas actuales de análisis estático, dinámico y del proceso de desarrollo para la generación segura de código, en particular en ambientes Web. Como parte de las técnicas a estudiar, surgen tres puntos importantes:
Análisis estático de código fuente: Este proceso permite detectar patrones clásicos que introducen bugs de seguridad, intentando reportar los que se detecten para minimizar las vulnerabilidades del producto final. Esto es importante para que en el ciclo de desarrollo de software se puedan detectar de forma temprana.
Análisis dinámico de la ejecución del programa (traza de ejecución): Hay ciertas vulnerabilidades que aparecen únicamente cuando se está ejecutando un programa, dado que puede depender del entorno de ejecución. Se debe encontrar una forma de ejecutar código y analizar la traza del mismo desde el punto de vista de la seguridad.
Análisis del proceso del desarrollo: El proceso de desarrollo debe ser tenido en cuenta para el proyecto, viendo cuáles son los procesos más convenientes para ser aplicados, y cual sería el resultado de los mismos.
Análisis del proceso de Testing para detectar problemas de seguridad: Como parte integral del proceso de desarrollo, se deben conocer que tests son concernientes a la seguridad de la aplicación.
El objetivo principal del proyecto es introducir al área de codificación segura de aplicaciones Web. Se proveerá una herramienta que incluya tests de seguridad en código fuente, e informe de los posibles problemas detectados en cada caso. Se aspira a tener una herramienta para el caso estático, así como para el caso dinámico.