Desenvolvimento de uma ferramenta para identificação e classificação de security smells em dockerfiles
| Autor(a) principal: | |
|---|---|
| Data de Publicação: | 2021 |
| Tipo de documento: | Trabalho de conclusão de curso |
| Idioma: | por |
| Título da fonte: | Repositório Institucional da UFRN |
| Texto Completo: | https://repositorio.ufrn.br/handle/123456789/49331 |
Resumo: | A infraestrutura como código é uma abordagem que vem sendo cada vez mais utilizada para criação e gerenciamento de infraestruturas de TI (Tecnologia da Informação) a partir de código- fonte. A ferramenta Docker faz uso de técnicas de infraestrutura como código, através de arquivos chamados Dockerfiles, para auxiliar na criação de uma infraestrutura. Todavia, Dockerfiles utilizados na criação de infraestruturas estão suscetíveis a uma má implementação, que pode acarretar em security smells. Security smells são indicativos de falhas de segurança em um código-fonte. Caso não sejam mitigados, security smells podem levar a falhas de seguranças que, se exploradas, podem causar enormes prejuízos. Contudo, apesar de diversos estudos sobre a identificação e potencial risco da presença de security smells em códigos Dockerfiles, até onde pudemos identificar, não existem ferramentas que verificam, de forma automática, a sua ocorrência. Portanto, o presente trabalho propõe o desenvolvimento de uma ferramenta de análise estática de código-fonte capaz de identificar security smells em Dockerfiles de forma automática. No presente trabalho, para fundamentar o desenvolvimento da ferramenta, foi realizada uma pesquisa bibliográfica para melhor compreensão das áreas de infraestrutura de TI, segurança de software e análise estática de código-fonte. Com isso, espera-se que a ferramenta aqui proposta possa auxiliar na identificação de possíveis falhas de segurança em Dockerfiles. Tornando possível realizar a mitigação destas vulnerabilidades de forma antecipada e, consequentemente, tornando as infraestruturas de TI e os seus serviços ainda mais seguros. |
| id |
UFRN_0c54c75132b8e672aead190f0bfdf66b |
|---|---|
| oai_identifier_str |
oai:https://repositorio.ufrn.br:123456789/49331 |
| network_acronym_str |
UFRN |
| network_name_str |
Repositório Institucional da UFRN |
| repository_id_str |
|
| spelling |
Araújo, Mateus Medeiros dehttp://lattes.cnpq.br/5793968153536969https://orcid.org/0000-0001-6497-1613http://lattes.cnpq.br/3102308378811852Medeiros, João Paulo de Souzahttp://lattes.cnpq.br/8782777013152714Barbosa, Luiz Paulo de Assishttp://lattes.cnpq.br/0176620407993556Borges Neto, João Batista2022-09-12T11:30:34Z2022-09-12T11:30:34Z2021-09-24ARAÚJO, Mateus Medeiros de. Desenvolvimento de uma ferramenta para identificação e classificação de Security Smells em Dockerfiles . Orientador: João Batista Borges Neto. Co-orientador: João Paulo de Souza Medeiros. 2021. 84f. Trabalho de Conclusão de Curso (Bacharelado em Sistemas de Informação) - Departamento de Computação e Tecnologia, Universidade Federal do Rio Grande do Norte, Caicó, 2021.https://repositorio.ufrn.br/handle/123456789/49331A infraestrutura como código é uma abordagem que vem sendo cada vez mais utilizada para criação e gerenciamento de infraestruturas de TI (Tecnologia da Informação) a partir de código- fonte. A ferramenta Docker faz uso de técnicas de infraestrutura como código, através de arquivos chamados Dockerfiles, para auxiliar na criação de uma infraestrutura. Todavia, Dockerfiles utilizados na criação de infraestruturas estão suscetíveis a uma má implementação, que pode acarretar em security smells. Security smells são indicativos de falhas de segurança em um código-fonte. Caso não sejam mitigados, security smells podem levar a falhas de seguranças que, se exploradas, podem causar enormes prejuízos. Contudo, apesar de diversos estudos sobre a identificação e potencial risco da presença de security smells em códigos Dockerfiles, até onde pudemos identificar, não existem ferramentas que verificam, de forma automática, a sua ocorrência. Portanto, o presente trabalho propõe o desenvolvimento de uma ferramenta de análise estática de código-fonte capaz de identificar security smells em Dockerfiles de forma automática. No presente trabalho, para fundamentar o desenvolvimento da ferramenta, foi realizada uma pesquisa bibliográfica para melhor compreensão das áreas de infraestrutura de TI, segurança de software e análise estática de código-fonte. Com isso, espera-se que a ferramenta aqui proposta possa auxiliar na identificação de possíveis falhas de segurança em Dockerfiles. Tornando possível realizar a mitigação destas vulnerabilidades de forma antecipada e, consequentemente, tornando as infraestruturas de TI e os seus serviços ainda mais seguros.Infrastructure as a code is an approach that is increasingly being used for the creation and management of IT (Information Technology) infrastructures from source code. The Docker tool makes use of techniques such as infrastructure as a code, through files called Dockerfiles, to assist in the creation of an infrastructure. However, Dockerfiles used for the creation of infrastructures are susceptible to misimplementations, which can result in security smells. Security smells are indicative of security flaws in a source code. If not mitigated, security smells can lead to security breaches that, if exploited, can cause huge losses. However, despite several studies on the identification and potential risk of the presence of security smells in Dockerfiles, as far as we could identify, there are no tools to automatically verify their occurrence. Therefore, the present work proposes the development of a static source code analysis tool capable of automatically identifying security smells in Dockerfiles. In the present work, to support the development of the tool, a bibliographic research was carried out to better understand the areas of IT infrastructure, software security and static analysis of source code. Thus, it is expected that the tool proposed here can assist in the identification of possible security flaws in Dockerfiles. Making it possible to mitigate these vulnerabilities in advance and, consequently, making IT infrastructures and their services even more secure.Universidade Federal do Rio Grande do NorteBacharelado em Sistemas de InformaçãoUFRNBrasilDepartamento de Computação e TecnologiaCNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO::SISTEMAS DE COMPUTACAOInfraestrutura como códigoSegurança de softwareAnálise estática de códigoDockerDockerfilesSecurity smellsDesenvolvimento de uma ferramenta para identificação e classificação de security smells em dockerfilesDevelopment of a tool for identifying and classifying security smells in dockerfilesinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/bachelorThesisporreponame:Repositório Institucional da UFRNinstname:Universidade Federal do Rio Grande do Norte (UFRN)instacron:UFRNinfo:eu-repo/semantics/openAccessCC-LICENSElicense_rdflicense_rdfapplication/rdf+xml; charset=utf-8701https://repositorio.ufrn.br/bitstream/123456789/49331/2/license_rdf42fd4ad1e89814f5e4a476b409eb708cMD52LICENSElicense.txtlicense.txttext/plain; charset=utf-81484https://repositorio.ufrn.br/bitstream/123456789/49331/3/license.txte9597aa2854d128fd968be5edc8a28d9MD53ORIGINALTCC2_MATEUS_FINAL.pdfTCC2_MATEUS_FINAL.pdfapplication/pdf1310551https://repositorio.ufrn.br/bitstream/123456789/49331/1/TCC2_MATEUS_FINAL.pdfd1d33a8e462806ef73f7a12ad8789a35MD51123456789/493312023-02-15 18:47:16.468oai:https://repositorio.ufrn.br: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Repositório de PublicaçõesPUBhttp://repositorio.ufrn.br/oai/opendoar:2023-02-15T21:47:16Repositório Institucional da UFRN - Universidade Federal do Rio Grande do Norte (UFRN)false |
| dc.title.pt_BR.fl_str_mv |
Desenvolvimento de uma ferramenta para identificação e classificação de security smells em dockerfiles |
| dc.title.alternative.pt_BR.fl_str_mv |
Development of a tool for identifying and classifying security smells in dockerfiles |
| title |
Desenvolvimento de uma ferramenta para identificação e classificação de security smells em dockerfiles |
| spellingShingle |
Desenvolvimento de uma ferramenta para identificação e classificação de security smells em dockerfiles Araújo, Mateus Medeiros de CNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO::SISTEMAS DE COMPUTACAO Infraestrutura como código Segurança de software Análise estática de código Docker Dockerfiles Security smells |
| title_short |
Desenvolvimento de uma ferramenta para identificação e classificação de security smells em dockerfiles |
| title_full |
Desenvolvimento de uma ferramenta para identificação e classificação de security smells em dockerfiles |
| title_fullStr |
Desenvolvimento de uma ferramenta para identificação e classificação de security smells em dockerfiles |
| title_full_unstemmed |
Desenvolvimento de uma ferramenta para identificação e classificação de security smells em dockerfiles |
| title_sort |
Desenvolvimento de uma ferramenta para identificação e classificação de security smells em dockerfiles |
| author |
Araújo, Mateus Medeiros de |
| author_facet |
Araújo, Mateus Medeiros de |
| author_role |
author |
| dc.contributor.authorLattes.pt_BR.fl_str_mv |
http://lattes.cnpq.br/5793968153536969 |
| dc.contributor.advisorID.pt_BR.fl_str_mv |
https://orcid.org/0000-0001-6497-1613 |
| dc.contributor.advisorLattes.pt_BR.fl_str_mv |
http://lattes.cnpq.br/3102308378811852 |
| dc.contributor.referees1.none.fl_str_mv |
Barbosa, Luiz Paulo de Assis |
| dc.contributor.referees1Lattes.pt_BR.fl_str_mv |
http://lattes.cnpq.br/0176620407993556 |
| dc.contributor.author.fl_str_mv |
Araújo, Mateus Medeiros de |
| dc.contributor.advisor-co1.fl_str_mv |
Medeiros, João Paulo de Souza |
| dc.contributor.advisor-co1Lattes.fl_str_mv |
http://lattes.cnpq.br/8782777013152714 |
| dc.contributor.advisor1.fl_str_mv |
Borges Neto, João Batista |
| contributor_str_mv |
Medeiros, João Paulo de Souza Borges Neto, João Batista |
| dc.subject.cnpq.fl_str_mv |
CNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO::SISTEMAS DE COMPUTACAO |
| topic |
CNPQ::CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO::SISTEMAS DE COMPUTACAO Infraestrutura como código Segurança de software Análise estática de código Docker Dockerfiles Security smells |
| dc.subject.por.fl_str_mv |
Infraestrutura como código Segurança de software Análise estática de código Docker Dockerfiles Security smells |
| description |
A infraestrutura como código é uma abordagem que vem sendo cada vez mais utilizada para criação e gerenciamento de infraestruturas de TI (Tecnologia da Informação) a partir de código- fonte. A ferramenta Docker faz uso de técnicas de infraestrutura como código, através de arquivos chamados Dockerfiles, para auxiliar na criação de uma infraestrutura. Todavia, Dockerfiles utilizados na criação de infraestruturas estão suscetíveis a uma má implementação, que pode acarretar em security smells. Security smells são indicativos de falhas de segurança em um código-fonte. Caso não sejam mitigados, security smells podem levar a falhas de seguranças que, se exploradas, podem causar enormes prejuízos. Contudo, apesar de diversos estudos sobre a identificação e potencial risco da presença de security smells em códigos Dockerfiles, até onde pudemos identificar, não existem ferramentas que verificam, de forma automática, a sua ocorrência. Portanto, o presente trabalho propõe o desenvolvimento de uma ferramenta de análise estática de código-fonte capaz de identificar security smells em Dockerfiles de forma automática. No presente trabalho, para fundamentar o desenvolvimento da ferramenta, foi realizada uma pesquisa bibliográfica para melhor compreensão das áreas de infraestrutura de TI, segurança de software e análise estática de código-fonte. Com isso, espera-se que a ferramenta aqui proposta possa auxiliar na identificação de possíveis falhas de segurança em Dockerfiles. Tornando possível realizar a mitigação destas vulnerabilidades de forma antecipada e, consequentemente, tornando as infraestruturas de TI e os seus serviços ainda mais seguros. |
| publishDate |
2021 |
| dc.date.issued.fl_str_mv |
2021-09-24 |
| dc.date.accessioned.fl_str_mv |
2022-09-12T11:30:34Z |
| dc.date.available.fl_str_mv |
2022-09-12T11:30:34Z |
| dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
| dc.type.driver.fl_str_mv |
info:eu-repo/semantics/bachelorThesis |
| format |
bachelorThesis |
| status_str |
publishedVersion |
| dc.identifier.citation.fl_str_mv |
ARAÚJO, Mateus Medeiros de. Desenvolvimento de uma ferramenta para identificação e classificação de Security Smells em Dockerfiles . Orientador: João Batista Borges Neto. Co-orientador: João Paulo de Souza Medeiros. 2021. 84f. Trabalho de Conclusão de Curso (Bacharelado em Sistemas de Informação) - Departamento de Computação e Tecnologia, Universidade Federal do Rio Grande do Norte, Caicó, 2021. |
| dc.identifier.uri.fl_str_mv |
https://repositorio.ufrn.br/handle/123456789/49331 |
| identifier_str_mv |
ARAÚJO, Mateus Medeiros de. Desenvolvimento de uma ferramenta para identificação e classificação de Security Smells em Dockerfiles . Orientador: João Batista Borges Neto. Co-orientador: João Paulo de Souza Medeiros. 2021. 84f. Trabalho de Conclusão de Curso (Bacharelado em Sistemas de Informação) - Departamento de Computação e Tecnologia, Universidade Federal do Rio Grande do Norte, Caicó, 2021. |
| url |
https://repositorio.ufrn.br/handle/123456789/49331 |
| dc.language.iso.fl_str_mv |
por |
| language |
por |
| dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
| eu_rights_str_mv |
openAccess |
| dc.publisher.none.fl_str_mv |
Universidade Federal do Rio Grande do Norte |
| dc.publisher.program.fl_str_mv |
Bacharelado em Sistemas de Informação |
| dc.publisher.initials.fl_str_mv |
UFRN |
| dc.publisher.country.fl_str_mv |
Brasil |
| dc.publisher.department.fl_str_mv |
Departamento de Computação e Tecnologia |
| publisher.none.fl_str_mv |
Universidade Federal do Rio Grande do Norte |
| dc.source.none.fl_str_mv |
reponame:Repositório Institucional da UFRN instname:Universidade Federal do Rio Grande do Norte (UFRN) instacron:UFRN |
| instname_str |
Universidade Federal do Rio Grande do Norte (UFRN) |
| instacron_str |
UFRN |
| institution |
UFRN |
| reponame_str |
Repositório Institucional da UFRN |
| collection |
Repositório Institucional da UFRN |
| bitstream.url.fl_str_mv |
https://repositorio.ufrn.br/bitstream/123456789/49331/2/license_rdf https://repositorio.ufrn.br/bitstream/123456789/49331/3/license.txt https://repositorio.ufrn.br/bitstream/123456789/49331/1/TCC2_MATEUS_FINAL.pdf |
| bitstream.checksum.fl_str_mv |
42fd4ad1e89814f5e4a476b409eb708c e9597aa2854d128fd968be5edc8a28d9 d1d33a8e462806ef73f7a12ad8789a35 |
| bitstream.checksumAlgorithm.fl_str_mv |
MD5 MD5 MD5 |
| repository.name.fl_str_mv |
Repositório Institucional da UFRN - Universidade Federal do Rio Grande do Norte (UFRN) |
| repository.mail.fl_str_mv |
|
| _version_ |
1814832727473520640 |