| Título: | Segurança de software open source : impacto das melhores práticas nos indicadores de vulnerabilidade do código |
| Autor(es): | Chaves, João Pedro Alves da Silva |
| Orientador(es): | Venson, Elaine |
| Assunto: | Software - segurança
Código aberto |
| Data de apresentação: | 2023 |
| Data de publicação: | 31-Jul-2024 |
| Referência: | CHAVES, João Pedro Alves da Silva. Segurança de software open source: impacto das melhores práticas nos indicadores de vulnerabilidade do código. 2023. 56 f., il. Trabalho de Conclusão de Curso (Bacharelado em Engenharia de Software) — Universidade de Brasília, Brasília, 2023. |
| Resumo: | O Movimento de Programa de Código Aberto tem crescido nas últimas três décadas, in clusive com aumento da utilização por parte de organizações em 2022. No entanto, esse
crescente uso também tem resultado em mais vulnerabilidades que podem levar a violações
de direitos e ataques cibernéticos. A Engenharia de Software busca reduzir essas vulne rabilidades e aumentar a segurança, com modelos de boas práticas de desenvolvimento
de software seguro como SDL, SAMM e BSIMM para software em geral. O Programa de
Selo de Melhores Práticas da OpenSSF (PSMPO) foi desenvolvido para auxiliar o desen volvimento e manutenção de projetos de código aberto incentivando a implementação de
melhores práticas de segurança. Este trabalho tem como objetivo identificar se há uma
relação entre o emprego de práticas do processo PSMPO no desenvolvimento de softwares
de código aberto e seu nível de segurança indicado pelas densidades de vulnerabilidades,
de code smells e de hotspots de segurança. Mais especificamente, foram identificadas as
práticas aplicadas em cada projeto por meio de uma pesquisa telematizada em plataforma
do PSMPO, as quais foram relacionadas com as densidades de vulnerabilidades, de code
smells e de hotspots de segurança obtidas por meio do teste estático de segurança nes ses softwares. Como resultado, foi averiguado pela aplicacao da analise exploratoria de
dados que o incentivo dado pelo PSMPO para a adoção de práticas de segurança tem
baixo efeito na redução das vulnerabilidades dos projetos de código aberto e que mais
de 60% dos projetos nao aplica nenhuma prática de segurança. Em futuros trabalhos, é
possível realizar uma comparação entre as densidades de vulnerabilidades, de code smells
e de hotspots de segurança em projetos que adotam as melhores práticas do PSMPO com
aqueles que não seguem tais práticas em programas de código aberto. |
| Abstract: | The Open Source Source Movement has experienced growth over the past three decades,
with a notable increase in adoption by organizations in 2022. However, this heightened
utilization has concurrently led to an escalation in vulnerabilities, posing risks of rights
violations and cyber attacks. The field of Software Engineering is dedicated to mitigating
these vulnerabilities and enhancing security, utilizing models of best practices for secure
software development, such as SDL, SAMM, and BSIMM, applicable to software in a
general context. The OpenSSF Best Practices Badge Program (OBPBP) has been devel oped to provide assistance in the development and maintenance of open source projects
by fostering the implementation of security best practices. The objective of this study is
to discern whether a correlation exists between the application of OBPBP practices in
open source software development and the resultant security level, as indicated by den sities of vulnerability, code smells and security hotspots. More specifically, the practices
implemented in each project were identified through a telematized survey on the OBPBP
platform, and these were subsequently correlated with vulnerability densities, code smells,
and security hotspots identified through static security testing in these software projects.
The outcomes, revealed through the application of exploratory data analysis, suggest that
the encouragement provided by OBPBP to adopt security practices has a small impact on
reducing vulnerabilities in open source projects, with over 60% of projects not implement ing any security practices. In future endeavors, a comparative analysis may be conducted
between densities of vulnerability, code smells and security hotspots in projects adher ing to OBPBP best practices and those that deviate from such practices in open source
software |
| Informações adicionais: | Trabalho de Conclusão de Curso (graduação) — Universidade de Brasília, Faculdade UnB Gama, 2023. |
| Licença: | A concessão da licença deste item refere-se ao termo de autorização impresso assinado pelo autor que autoriza a Biblioteca Digital da Produção Intelectual Discente da Universidade de Brasília (BDM) a disponibilizar o trabalho de conclusão de curso por meio do sítio bdm.unb.br, com as seguintes condições: disponível sob Licença Creative Commons 4.0 International, que permite copiar, distribuir e transmitir o trabalho, desde que seja citado o autor e licenciante. Não permite o uso para fins comerciais nem a adaptação desta. |
| Aparece na Coleção: | Engenharia de Software
|
Todos os itens na BDM estão protegidos por copyright. Todos os direitos reservados.
