PDF de programación - Análisis de seguridad y calidad de aplicaciones (Sonarqube)

Análisis de seguridad y calidad de

aplicaciones (Sonarqube)

Juan Pablo Ospina Delgado

Universidad Obterta de Cataluyna

Ingeniería, Departamento de Informática

Manizales, Colombia

2015

Análisis de seguridad y calidad de

aplicaciones (Sonarqube)

Juan Pablo Ospina Delgado

Memoria del proyecto presentado como requisito parcial para optar al título de:

Máster en Seguridad de las tecnologías de la información y de las

comunicaciones .

Consultor:

Pau del Canto Rodrigo

Línea del proyecto:

Seguridad del software

Universidad Obterta de Cataluyna

Ingeniería, Departamento de informática

Manizales, Colombia

2015

Todo es teóricamente imposible, hasta que se
hace.

Robert A. Heinlein

Agradecimientos

Primero quiero agradecer a mi familia por el cariño y apoyo constante que me han
brindado todo este tiempo, a mi novia Alejandra por ser cada día una fuente de
inspiración y amor. Además al tutor de este trabajo Pau del Canto Rodrigo por
ofrecerme una guía y colaboración constante en la realización de esta tesis.

Resumen

Esta tesis presenta una revisión general del estado de las herramientas de análisis de
código estático enfocadas en detectar vulnerabilidades en aplicaciones web y su
implementación dentro del ciclo de desarrollo del software. Estas herramientas constituyen
una forma rápida, eficiente y sencilla de asegurar los proyectos de software, incluso si no
todos los fallos son detectados. La evaluación busca demostrar el estado actual y real de
los programas de análisis estático, con el fin que ANCERT logre mejorar la seguridad de
sus proyectos a partir de la implementación de la herramienta que mas se ajuste a sus
necesidades y metodologías de desarrollo. Por último el trabajo pretende ser una fuente de
consulta para futuras pruebas y avances en el campo del análisis estático de código en la
detección de vulnerabilidades.

Palabras clave: Análisis de código estático, seguridad del software, seguridad
aplicaciones web, seguridad del código.

Abstract
This thesis presents an overview state of the static code analysis tools that focused on
detecting vulnerabilities in web applications and their implementation within the software
development life-cycle. These tools provide a fast, efficient and easy way to ensure
software projects, even if not all faults are detected. The evaluation aims to demonstrate
the current and real state of static analysis programs, in order to achieve ANCERT
improve the security of their projects from the implementation of the tool that best meets
their needs and development methodologies. Finally the work is intended as a resource for
future tests and developments in the field of static code analysis for detecting
vulnerabilities.

Keywords: Static code analysis, software security, web application security, secured code.

Contenido

Pág.

Resumen............................................................................................................5

Lista de figuras...................................................................................................8

Lista de tablas..................................................................................................10

1. Motivación...................................................................................................12

2. Estado del Arte............................................................................................14

3. Objetivos......................................................................................................17

4. Capítulo Fundamentos.................................................................................18

4.1 Análisis de código estático.......................................................................................19
4.1.1 Técnicas para el análisis estático.......................................................................20
4.1.2 Usos del análisis de código estático...................................................................23
4.1.3 Ventajas y desventajas......................................................................................26
4.2 SonarQube...............................................................................................................28
4.2.1 Ejecutando el primer análisis.............................................................................30
4.3 Taxonomía de vulnerabilidades en aplicaciones web................................................37
4.3.1.1 Clasificación Owasp top 10.................................................................................39
5. Capítulo Evaluación.....................................................................................44

5.1 Métricas...................................................................................................................45
5.1.1 Reportes............................................................................................................46
5.1.2 Integración con la gestión de proyectos.............................................................46
5.1.3 Capacidad para la detección de errores.............................................................46
5.2 Juliet Test Suite......................................................................................................46
5.2.1 Estructura de las pruebas..................................................................................48
5.2.2 Estructura de la suite........................................................................................50

5.3 Resultados casos de prueba.....................................................................................52
5.3.1 SonarQube........................................................................................................52
5.3.2 VisualCode Grepper..........................................................................................56
5.3.3 Fortify HP on Demand......................................................................................58
6.Conclusiones y trabajo futuro.......................................................................62

6.1 Conclusiones............................................................................................................62
6.2 Trabajo futuro.........................................................................................................64
Bibliografía.......................................................................................................65

Lista de figuras

Pág.

Figura 4-1: Flujo de control [21].......................................................................................21

Figura 4-2: Salida consola primer análisis.........................................................................32

Figura 4-3: Dashboard Sonarqube.....................................................................................32

Figura 4-4: Widget Project...............................................................................................33

Figura 4-5: Métrica tamaño..............................................................................................33

Figura 4-6: Métrica incumplimiento de estándares y defectos...........................................34

Figura 4-7: Métrica pruebas unitarias...............................................................................35

Figura 4-8: Métrica complejidad.......................................................................................36

Figura 4-9: Métrica comentarios.......................................................................................36

Lista de tablas

Pág.

Tabla 4-1: Lenguajes soportados por Sonarqube [32]........................................................29

Tabla 4-2: Taxonomía con relación al OWASP Top 10 [35]...............................................42

Tabla 5-1: Resultados inyección sql (Sonarqube)...............................................................52

Tabla 5-2: Resultados XSS (Sonarqube)...........................................................................53

Tabla 5-3: Resultados XSS-2 (Sonarqube).........................................................................54

Tabla 5-4: Resultados criptografía-1 (Sonarqube).............................................................54

Tabla 5-5: Resultados criptografía-2 (Sonarqube).............................................................55

Tabla 5-6: Resultados criptografía-3 (Sonarqube).............................................................55

Tabla 5-7: Resultados inyección sql (VGC).......................................................................56

Tabla 5-8: Resultados XSS-1 (VCG).................................................................................57

Tabla 5-9: Resultados XSS-2 (VCG).................................................................................57

Tabla 5-10: Resultados criptografía-1 (VCG)....................................................................57

Tabla 5-11: Resultados criptografía-2 (VCG)....................................................................57

Tabla 5-12: Resultados criptografía-3 (VCG)....................................................................58

Tabla 5-13: Resultados inyección sql (Fortify HP)............................................................59

Tabla 5-14: Resultados XSS-1 (Fortify HP)......................................................................59

Tabla 5-15: Resultados XSS-2 (Fortify HP)......................................................................60

Tabla 5-16: Resultados criptografía-1 (Fortify HP)...........................................................60

Tabla 5-17: Resultados criptografía-2 (Fortify HP)...........................................................60

Tabla 5-18: Resultados criptografía-3 (Fortify HP).........................................