| Título: | Uma investigação comparativa de ferramentas SAST para a avaliação da segurança de aplicações web |
| Autor(es): | Abreu Neto, Eurico Menezes de
Calzavara, João Henrique Marques |
| Orientador(es): | Venson, Elaine |
| Assunto: | Aplicações web
Software - segurança
Segurança da informação - vulnerabilidades
Ferramentas de Teste Estático de Segurança de Aplicações |
| Data de apresentação: | 6-Fev-2025 |
| Data de publicação: | 27-Jan-2026 |
| Referência: | ABREU NETO, Eurico Menezes de; CALZAVARA, João Henrique Marques. Uma investigação comparativa de ferramentas SAST para a avaliação da segurança de aplicações web. 2025. 91 f., il. Trabalho de Conclusão de Curso (Bacharelado em Engenharia de Software) — Universidade de Brasília, Brasília, 2025. |
| Resumo: | A segurança das aplicações web tem se tornado uma prioridade crescente devido à complexidade e integração das aplicações modernas. As ferramentas de Teste Estático de Segurança de Aplicações, em inglês Static Application Security Testing(SAST), emergiram como recursos valiosos para automatizar a identificação de vulnerabilidades durante o desenvolvimento de software. Este trabalho visa realizar uma avaliação comparativa entre quatro ferramentas SAST, analisando sua eficácia na detecção de vulnerabilidades, taxa de falsos positivos, e alinhamento com as diretrizes do Open Worldwide Application Security Project (OWASP). Para isso, foram escolhidas as ferramentas SonarCloud, Coverity Scan, Semgrep e Horusec, que foram aplicadas em seis aplicações web. A coleta de dados incluiu a execução dessas ferramentas, seguida pela organização e análise das vulnerabilidades detectadas. A metodologia do estudo incluiu a preparação do ambiente, a execução das ferramentas e a análise dos dados coletados com base em critérios como a severidade das vulnerabilidades, a quantidade de falsos positivos e a conformidade com o OWASPTop 10. Os resultados indicaram variações significativas no desempenho das ferramentas, com algumas se destacando pela precisão na detecção e na sugestão de correções, enquanto outras apresentaram maior incidência de falsos positivos .A análise também revelou que o alinhamento com as diretrizes do OWASP Top10 variou entre as ferramentas, refletindo suas capacidades de classificar e filtrar vulnerabilidades de acordo com essa metodologia. Este estudo contribui para uma melhor compreensão das ferramentas SAST, oferecendo informações valiosas para desenvolvedores e profissionais de segurança na escolha da ferramenta mais adequada para a mitigação de riscos em ambientes de desenvolvimento web. |
| Abstract: | The security of web applications has become an increasing priority due to the complexity and integration of modern applications. Static Application Security Testing(SAST) tools have emerged as valuable resources to automate the identification of vulnerabilities during software development. This study aims to conduct a comparative evaluation of four SAST tools, analyzing their effectiveness in vulnerability detection, false positive rates, and alignment with the Open Worldwide Application Security Project (OWASP) guidelines. For this purpose, the tools SonarCloud, Coverity Scan, Semgrep, and Horusec were selected and applied to six web applications. The data collection process involved running these tools, followed by the organization and analysis of the detected vulnerabilities.The study methodology included setting up the environment, executing the tools,and analyzing the collected data based on criteria such as vulnerability severity,the number of false positives, and compliance with the OWASP Top 10. The results indicated significant variations in the tools’ performance, with some excelling in detection accuracy and providing remediation suggestions, while others showed a higher incidence of false positives. The analysis also revealed that alignment with OWASP Top 10 guidelines varied across the tools, reflecting their capabilities in classifying and filtering vulnerabilities according to this methodology.This study contributes to a better understanding of SAST tools, offering valuable insights for developers and security professionals in choosing the most suitable tool for risk mitigation in web development environments. |
| Informações adicionais: | Trabalho de Conclusão de Curso (graduação) — Universidade de Brasília, Faculdade de Ciências e Tecnologia em Engenharia, Engenharia de Software, 2025. |
| Licença: | A concessão da licença deste item refere-se ao termo de autorização impresso assinado pelo autor que autoriza a Biblioteca Digital da Produção Intelectual Discente da Universidade de Brasília (BDM) a disponibilizar o trabalho de conclusão de curso por meio do sítio bdm.unb.br, com as seguintes condições: disponível sob Licença Creative Commons 4.0 International, que permite copiar, distribuir e transmitir o trabalho, desde que seja citado o autor e licenciante. Não permite o uso para fins comerciais nem a adaptação desta. |
| Aparece na Coleção: | Engenharia de Software
|
Todos os itens na BDM estão protegidos por copyright. Todos os direitos reservados.
