“Avaliação de Ferramentas de Análise Estática de Código para Detecção de Vulnerabilidades”

From Navigators

Revision as of 14:41, 14 January 2013 by Jcraveiro (Talk | contribs)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to: navigation, search

Emanuel Teixeira, João Antunes, Nuno Ferreira Neves

in Proceedings of the Segurança Informática nas Organizações, Nov. 2007.

Abstract: As ferramentas de análise estática facilitam a detecção de anomalias ou erros de codificação existentes numa aplicação. Estas ferramentas vêm ajudar a eliminar lapsos cometidos pelos programadores, podendo ter um impacto significativo no ciclo de desenvolvimento de um produto, permitindo poupar tempo e dinheiro. Neste artigo é apresentado um teste que permite avaliar e comparar o desempenho de diversas ferramentas de análise estática, nomeadamente em relação ao número de falsos alarmes reportados e às vulnerabilidades que ficam por localizar. Os resultados obtidos com um conjunto de nove ferramentas demonstram que muitas delas estão especializadas para certas classes de vulnerabilidades, e que em média produzem um número significativo de falsos alertas. Daí ter-se concretizado uma nova ferramenta, designada por Mute, que utiliza um mecanismo de agregação de resultados produzidos por vários outros analisadores. Uma avaliação do Mute mostrou que ele era capaz de apresentar uma melhor eficácia e precisão na detecção para um conjunto alargado de vulnerabilidades.

Download paper

Download Avaliação de Ferramentas de Análise Estática de Código para Detecção de Vulnerabilidades

Export citation

BibTeX

Project(s): Project:AJECT

Research line(s): Fault And Intrusion Tolerance in Open Distributed Systems (FIT)

Personal tools
Navigators toolbox