Analisando vulnerabilidade de segurança em um projeto de software.

ARAÚJO, Jerônimo Jairo Silva de.

Analisando vulnerabilidade de segurança em um projeto de software.

Detalhes bibliográficos
Autor(a) principal:	ARAÚJO, Jerônimo Jairo Silva de.
Data de Publicação:	2023
Tipo de documento:	Trabalho de conclusão de curso
Idioma:	por
Título da fonte:	Biblioteca Digital de Teses e Dissertações da UFCG
Texto Completo:	http://dspace.sti.ufcg.edu.br:8080/jspui/handle/riufcg/33351
Resumo:	Vulnerabilidades de segurança em sistemas computacionais são problemas geralmente complexos de tratar e que mesmo com a melhora no processo de desenvolvimento tendem a persistir. A falta de interesse na remoção dessas vulnerabilidades durante o desenvolvimento pode se tornar um contratempo no futuro (débito técnico), resultar em acessos indevidos, expor dados dos usuários e reverter em custos financeiros para a empresa. Desta forma, faz-se necessário que preocupações com a identificação e remoção dessas vulnerabilidades existam durante todo o processo de desenvolvimento do software. Neste trabalho, serão utilizadas ferramentas de análise estática (Check Marx, Black Duck e Jfrog Xray) para analisar a evolução, distribuição por classe de risco e tempo de vida de vulnerabilidades de segurança em um projeto desenvolvido por uma empresa de grande porte em parceria com o Laboratório de Sistemas Distribuídos. O projeto em questão consiste de um serviço que oferece gerenciamento para recursos de observabilidade. A partir dos resultados obtidos foi constatado que vulnerabilidades que afetam componentes open-source encontradas pelas ferramentas Black Duck e Jfrog Xray estavam sendo tratadas. No entanto, as vulnerabilidades de segurança que afetam pontos de código do projeto encontrados na ferramenta Check Marx, não estavam sendo abordadas.

Metadados do item

id	UFCG_a95339ce175eb5870862e10af4cd8205
oai_identifier_str	oai:localhost:riufcg/33351
network_acronym_str	UFCG
network_name_str	Biblioteca Digital de Teses e Dissertações da UFCG
repository_id_str	4851
spelling	ALVES, Everton Leandro Galdino.ALVES, E. L. G.http://lattes.cnpq.br/2793969744497453RAMALHO, Franklin de Souza.RAMALHO, F. S.BRASILEIRO, Francisco Vilar.BRASILEIRO, F. V.ARAÚJO, J. J. S.http://lattes.cnpq.br/6632300771785126ARAÚJO, Jerônimo Jairo Silva de.Vulnerabilidades de segurança em sistemas computacionais são problemas geralmente complexos de tratar e que mesmo com a melhora no processo de desenvolvimento tendem a persistir. A falta de interesse na remoção dessas vulnerabilidades durante o desenvolvimento pode se tornar um contratempo no futuro (débito técnico), resultar em acessos indevidos, expor dados dos usuários e reverter em custos financeiros para a empresa. Desta forma, faz-se necessário que preocupações com a identificação e remoção dessas vulnerabilidades existam durante todo o processo de desenvolvimento do software. Neste trabalho, serão utilizadas ferramentas de análise estática (Check Marx, Black Duck e Jfrog Xray) para analisar a evolução, distribuição por classe de risco e tempo de vida de vulnerabilidades de segurança em um projeto desenvolvido por uma empresa de grande porte em parceria com o Laboratório de Sistemas Distribuídos. O projeto em questão consiste de um serviço que oferece gerenciamento para recursos de observabilidade. A partir dos resultados obtidos foi constatado que vulnerabilidades que afetam componentes open-source encontradas pelas ferramentas Black Duck e Jfrog Xray estavam sendo tratadas. No entanto, as vulnerabilidades de segurança que afetam pontos de código do projeto encontrados na ferramenta Check Marx, não estavam sendo abordadas.Security vulnerabilities in computer systems are often complex problems to deal with, and even with improvements in the development process they tend to persist. The lack of interest in removing these vulnerabilities during development can become a setback in the future (technical debt), result in improper access, expose user data, and revert in financial costs to the company. Thus, it is necessary that concerns with the identification and removal of these vulnerabilities exist during the entire software development process. In this work, static analysis tools (Check Marx, Black Duck and Jfrog Xray) will be used to analyze the evolution, distribution by risk class and lifetime of security vulnerabilities in a project developed by a large company in partnership with the Distributed Systems Lab. The project in question consists of a service that offers management for observability resources. From the results it was found that vulnerabilities affecting open-source components found by the Black Duck and Jfrog Xray tools were being addressed. However, security vulnerabilities affecting project code points found in the Check Marx tool were not being addressed.Submitted by Renata Cardoso (renaatachaves97@hotmail.com) on 2023-12-04T19:32:40Z No. of bitstreams: 1 JERÔNIMO JAIRO SILVA DE ARAÚJO - TCC ARTIGO CIÊNCIA DA COMPUTAÇÃO CEEI 2023.pdf: 497378 bytes, checksum: 729c24bb43cffc0496d31a4ad3781d8c (MD5)Made available in DSpace on 2023-12-04T19:32:40Z (GMT). No. of bitstreams: 1 JERÔNIMO JAIRO SILVA DE ARAÚJO - TCC ARTIGO CIÊNCIA DA COMPUTAÇÃO CEEI 2023.pdf: 497378 bytes, checksum: 729c24bb43cffc0496d31a4ad3781d8c (MD5) Previous issue date: 2023-06-28Universidade Federal de Campina GrandeUFCGBrasilCentro de Engenharia Elétrica e Informática - CEEICiência da Computação.Vulnerabilidade de segurança - sistemas computacionaisProjeto de software - segurançaSegurança - sistemas computacionaisDesenvolvimento ágil de softwareAnálise estática - ferramentasSecurity Application Static Testing - SASTSecurity vulnerability - computer systemsSoftware design - securitySecurity - computer systemsAgile software developmentStatic analysis - toolsAnalisando vulnerabilidade de segurança em um projeto de software.Analyzing security vulnerability in a software project.2023-06-282023-12-04T19:32:40Z2023-12-042023-12-04T19:32:40Zhttp://dspace.sti.ufcg.edu.br:8080/jspui/handle/riufcg/33351ARAÚJO, Jerônimo Jairo Silva de. Analisando vulnerabilidade de segurança em um projeto de software. 2023. 11f. (Trabalho de Conclusão de Curso - Artigo), Curso de Bacharelado em Ciência da Computação, Centro de Engenharia Elétrica e Informática , Universidade Federal de Campina Grande – Paraíba - Brasil, 2023. Disponível em: http://dspace.sti.ufcg.edu.br:8080/jspui/handle/riufcg/33351info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/bachelorThesisporinfo:eu-repo/semantics/openAccessreponame:Biblioteca Digital de Teses e Dissertações da UFCGinstname:Universidade Federal de Campina Grande (UFCG)instacron:UFCGLICENSElicense.txtlicense.txttext/plain; charset=utf-81748http://dspace.sti.ufcg.edu.br:8080/xmlui/bitstream/riufcg/33351/2/license.txt8a4605be74aa9ea9d79846c1fba20a33MD52ORIGINALJERÔNIMO JAIRO SILVA DE ARAÚJO - TCC ARTIGO CIÊNCIA DA COMPUTAÇÃO CEEI 2023.pdfJERÔNIMO JAIRO SILVA DE ARAÚJO - TCC ARTIGO CIÊNCIA DA COMPUTAÇÃO CEEI 2023.pdfapplication/pdf497378http://dspace.sti.ufcg.edu.br:8080/xmlui/bitstream/riufcg/33351/1/JER%C3%94NIMO+JAIRO+SILVA+DE+ARA%C3%9AJO+-+TCC+ARTIGO+CI%C3%8ANCIA+DA+COMPUTA%C3%87%C3%83O+CEEI+2023.pdf729c24bb43cffc0496d31a4ad3781d8cMD51riufcg/333512023-12-04 16:33:31.97oai:localhost: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Biblioteca Digital de Teses e Dissertaçõeshttp://bdtd.ufcg.edu.br/PUBhttp://dspace.sti.ufcg.edu.br:8080/oai/requestbdtd@setor.ufcg.edu.br \|\| bdtd@setor.ufcg.edu.bropendoar:48512024-07-01T10:40:37.805814Biblioteca Digital de Teses e Dissertações da UFCG - Universidade Federal de Campina Grande (UFCG)false
dc.title.pt_BR.fl_str_mv	Analisando vulnerabilidade de segurança em um projeto de software.
dc.title.alternative.pt_BR.fl_str_mv	Analyzing security vulnerability in a software project.
title	Analisando vulnerabilidade de segurança em um projeto de software.
spellingShingle	Analisando vulnerabilidade de segurança em um projeto de software. ARAÚJO, Jerônimo Jairo Silva de. Ciência da Computação. Vulnerabilidade de segurança - sistemas computacionais Projeto de software - segurança Segurança - sistemas computacionais Desenvolvimento ágil de software Análise estática - ferramentas Security Application Static Testing - SAST Security vulnerability - computer systems Software design - security Security - computer systems Agile software development Static analysis - tools
title_short	Analisando vulnerabilidade de segurança em um projeto de software.
title_full	Analisando vulnerabilidade de segurança em um projeto de software.
title_fullStr	Analisando vulnerabilidade de segurança em um projeto de software.
title_full_unstemmed	Analisando vulnerabilidade de segurança em um projeto de software.
title_sort	Analisando vulnerabilidade de segurança em um projeto de software.
author	ARAÚJO, Jerônimo Jairo Silva de.
author_facet	ARAÚJO, Jerônimo Jairo Silva de.
author_role	author
dc.contributor.advisor1.fl_str_mv	ALVES, Everton Leandro Galdino.
dc.contributor.advisor1ID.fl_str_mv	ALVES, E. L. G.
dc.contributor.advisor1Lattes.fl_str_mv	http://lattes.cnpq.br/2793969744497453
dc.contributor.referee1.fl_str_mv	RAMALHO, Franklin de Souza.
dc.contributor.referee1ID.fl_str_mv	RAMALHO, F. S.
dc.contributor.referee2.fl_str_mv	BRASILEIRO, Francisco Vilar.
dc.contributor.referee2ID.fl_str_mv	BRASILEIRO, F. V.
dc.contributor.authorID.fl_str_mv	ARAÚJO, J. J. S.
dc.contributor.authorLattes.fl_str_mv	http://lattes.cnpq.br/6632300771785126
dc.contributor.author.fl_str_mv	ARAÚJO, Jerônimo Jairo Silva de.
contributor_str_mv	ALVES, Everton Leandro Galdino. RAMALHO, Franklin de Souza. BRASILEIRO, Francisco Vilar.
dc.subject.cnpq.fl_str_mv	Ciência da Computação.
topic	Ciência da Computação. Vulnerabilidade de segurança - sistemas computacionais Projeto de software - segurança Segurança - sistemas computacionais Desenvolvimento ágil de software Análise estática - ferramentas Security Application Static Testing - SAST Security vulnerability - computer systems Software design - security Security - computer systems Agile software development Static analysis - tools
dc.subject.por.fl_str_mv	Vulnerabilidade de segurança - sistemas computacionais Projeto de software - segurança Segurança - sistemas computacionais Desenvolvimento ágil de software Análise estática - ferramentas Security Application Static Testing - SAST Security vulnerability - computer systems Software design - security Security - computer systems Agile software development Static analysis - tools
description	Vulnerabilidades de segurança em sistemas computacionais são problemas geralmente complexos de tratar e que mesmo com a melhora no processo de desenvolvimento tendem a persistir. A falta de interesse na remoção dessas vulnerabilidades durante o desenvolvimento pode se tornar um contratempo no futuro (débito técnico), resultar em acessos indevidos, expor dados dos usuários e reverter em custos financeiros para a empresa. Desta forma, faz-se necessário que preocupações com a identificação e remoção dessas vulnerabilidades existam durante todo o processo de desenvolvimento do software. Neste trabalho, serão utilizadas ferramentas de análise estática (Check Marx, Black Duck e Jfrog Xray) para analisar a evolução, distribuição por classe de risco e tempo de vida de vulnerabilidades de segurança em um projeto desenvolvido por uma empresa de grande porte em parceria com o Laboratório de Sistemas Distribuídos. O projeto em questão consiste de um serviço que oferece gerenciamento para recursos de observabilidade. A partir dos resultados obtidos foi constatado que vulnerabilidades que afetam componentes open-source encontradas pelas ferramentas Black Duck e Jfrog Xray estavam sendo tratadas. No entanto, as vulnerabilidades de segurança que afetam pontos de código do projeto encontrados na ferramenta Check Marx, não estavam sendo abordadas.
publishDate	2023
dc.date.issued.fl_str_mv	2023-06-28
dc.date.accessioned.fl_str_mv	2023-12-04T19:32:40Z
dc.date.available.fl_str_mv	2023-12-04 2023-12-04T19:32:40Z
dc.type.status.fl_str_mv	info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv	info:eu-repo/semantics/bachelorThesis
format	bachelorThesis
status_str	publishedVersion
dc.identifier.uri.fl_str_mv	http://dspace.sti.ufcg.edu.br:8080/jspui/handle/riufcg/33351
dc.identifier.citation.fl_str_mv	ARAÚJO, Jerônimo Jairo Silva de. Analisando vulnerabilidade de segurança em um projeto de software. 2023. 11f. (Trabalho de Conclusão de Curso - Artigo), Curso de Bacharelado em Ciência da Computação, Centro de Engenharia Elétrica e Informática , Universidade Federal de Campina Grande – Paraíba - Brasil, 2023. Disponível em: http://dspace.sti.ufcg.edu.br:8080/jspui/handle/riufcg/33351
url	http://dspace.sti.ufcg.edu.br:8080/jspui/handle/riufcg/33351
identifier_str_mv	ARAÚJO, Jerônimo Jairo Silva de. Analisando vulnerabilidade de segurança em um projeto de software. 2023. 11f. (Trabalho de Conclusão de Curso - Artigo), Curso de Bacharelado em Ciência da Computação, Centro de Engenharia Elétrica e Informática , Universidade Federal de Campina Grande – Paraíba - Brasil, 2023. Disponível em: http://dspace.sti.ufcg.edu.br:8080/jspui/handle/riufcg/33351
dc.language.iso.fl_str_mv	por
language	por
dc.rights.driver.fl_str_mv	info:eu-repo/semantics/openAccess
eu_rights_str_mv	openAccess
dc.publisher.none.fl_str_mv	Universidade Federal de Campina Grande
dc.publisher.initials.fl_str_mv	UFCG
dc.publisher.country.fl_str_mv	Brasil
dc.publisher.department.fl_str_mv	Centro de Engenharia Elétrica e Informática - CEEI
publisher.none.fl_str_mv	Universidade Federal de Campina Grande
dc.source.none.fl_str_mv	reponame:Biblioteca Digital de Teses e Dissertações da UFCG instname:Universidade Federal de Campina Grande (UFCG) instacron:UFCG
instname_str	Universidade Federal de Campina Grande (UFCG)
instacron_str	UFCG
institution	UFCG
reponame_str	Biblioteca Digital de Teses e Dissertações da UFCG
collection	Biblioteca Digital de Teses e Dissertações da UFCG
bitstream.url.fl_str_mv	http://dspace.sti.ufcg.edu.br:8080/xmlui/bitstream/riufcg/33351/2/license.txt http://dspace.sti.ufcg.edu.br:8080/xmlui/bitstream/riufcg/33351/1/JER%C3%94NIMO+JAIRO+SILVA+DE+ARA%C3%9AJO+-+TCC+ARTIGO+CI%C3%8ANCIA+DA+COMPUTA%C3%87%C3%83O+CEEI+2023.pdf
bitstream.checksum.fl_str_mv	8a4605be74aa9ea9d79846c1fba20a33 729c24bb43cffc0496d31a4ad3781d8c
bitstream.checksumAlgorithm.fl_str_mv	MD5 MD5
repository.name.fl_str_mv	Biblioteca Digital de Teses e Dissertações da UFCG - Universidade Federal de Campina Grande (UFCG)
repository.mail.fl_str_mv	bdtd@setor.ufcg.edu.br \|\| bdtd@setor.ufcg.edu.br
_version_	1803396910625587200

Analisando vulnerabilidade de segurança em um projeto de software.

Registros relacionados