Metodología de evaluación de herramientas de análisis automático de seguridad de aplicaciones web para su adaptación en el ciclo de vida de desarrollo = Assessment methodology of web applications automatic security analysis tools for adaptation in the development life cycle

Bermejo Higuera, Juan Ramón. Metodología de evaluación de herramientas de análisis automático de seguridad de aplicaciones web para su adaptación en el ciclo de vida de desarrollo = Assessment methodology of web applications automatic security analysis tools for adaptation in the development life cycle . 2014. Universidad Nacional de Educación a Distancia (España). Escuela Técnica Superior de Ingenieros Industriales. Departamento de Ingeniería Eléctrica, Electrónica y Control

Ficheros (Some files may be inaccessible until you login with your e-spacio credentials)
Nombre Descripción Tipo MIME Size
BERMEJO_HIGUERA_Juan_Ramon_Tesis.pdf Full text (open access) application/pdf 4.95MB

Título Metodología de evaluación de herramientas de análisis automático de seguridad de aplicaciones web para su adaptación en el ciclo de vida de desarrollo = Assessment methodology of web applications automatic security analysis tools for adaptation in the development life cycle
Autor(es) Bermejo Higuera, Juan Ramón
Resumen Como técnicas de análisis de seguridad de una aplicación, las pruebas de caja blanca y de caja negra realizadas manualmente (revisión de código, test de penetración), sufren de falta de cobertura de la superficie de ataque que tienen las aplicaciones y lo más probable es que con estas pruebas de penetración manuales se tenga una gran pérdida de detección de vulnerabilidades de seguridad. La dificultad de realizar estos test manualmente conduce al desarrollo de técnicas automáticas de análisis de la seguridad. Este trabajo de tesis trata de fijar el “estado del arte” en cuanto a las últimas tendencias de herramientas de análisis automáticas: análisis estático de caja blanca (SAST), dinámico de caja negra (DAST) y análisis dinámico de caja blanca (RAST / IAST) en tiempo real. También hay disponibles desarrollos de herramientas híbridas combinando varias de los tipos anteriores, con el objetivo de reducir los falsos positivos y negativos que tienen las herramientas de análisis estático y dinámico. Todas estos tipos de herramientas son evaluadas de acuerdo a una metodología desde una perspectiva global para establecer el grado de eficacia de las herramientas en cuanto detecciones correctas (verdaderos positivos), falsas alarmas (falsos positivos), grado de cobertura de vulnerabilidades, etc. La metodología de evaluación de las herramientas consiste en ejecutar cada herramienta contra aplicaciones benchmark que contienen vulnerabilidades de seguridad conocidas. Las aplicaciones benchmark utilizadas han de tener la capacidad de comprobar falsos positivos, es decir, porciones de código seguras controladas donde las herramientas no deberían informar de la existencia de una vulnerabilidad concreta. Al resultado de las ejecuciones se les aplican posteriormente métricas seleccionadas y ampliamente aceptadas para establecer un ranking en cuanto a la efectividad de análisis de seguridad de cada herramienta. El objetivo final del resultado de la evaluación de los diferentes tipos de herramientas mencionados, es la derivación de un modelo de ciclo de vida de desarrollo seguro de 8 software (SSDLC), aplicando en cada fase los tipos de herramientas más adecuados para conseguir un resultado de conjunto lo más optimizado posible. La diferente naturaleza de cada tipo de herramienta, e incluso entre distintas herramientas del mismo tipo, hace necesario estudiar la sinergia existente entre ellas cuando se combinan para reducir el porcentaje de falsos positivos y aumentar el porcentaje de verdaderos positivos. El modelo de ciclo de vida de desarrollo seguro de software resultante siempre estará en función de los tipos de herramientas disponibles, del personal disponible para realizar las tareas de análisis, del tiempo y otros factores como los cambios de tendencias de la frecuencia y peligrosidad de las vulnerabilidades con el tiempo, de la evolución de las propias herramientas y de la aparición de otras nuevas. Estos factores de cambio implican analizar esta evolución para adaptar continuamente el modelo de SSDLC.
Materia(s) Ingeniería Industrial
Editor(es) Universidad Nacional de Educación a Distancia (España). Escuela Técnica Superior de Ingenieros Industriales. Departamento de Ingeniería Eléctrica, Electrónica y Control
Director de tesis Díaz Orueta, Gabriel (Director de Tesis)
Fecha 2014-06-26
Formato application/pdf
Identificador tesisuned:IngInd-Jrbermejo
http://e-spacio.uned.es/fez/view/tesisuned:IngInd-Jrbermejo
Idioma spa
Versión de la publicación publishedVersion
Nivel de acceso y licencia http://creativecommons.org/licenses/by-nc-nd/4.0
info:eu-repo/semantics/openAccess
Tipo de recurso Thesis
Tipo de acceso Acceso abierto

 
Versiones
Versión Tipo de filtro
Contador de citas: Google Scholar Search Google Scholar
Estadísticas de acceso: 890 Visitas, 2601 Descargas  -  Estadísticas en detalle
Creado: Tue, 09 Dec 2014, 11:17:16 CET