Herramientas de análisis de código seguro para el uso de desarrollo de software, año 2024

Simple item page
dc.contributor.advisorBarragán Quizhpe, Christian Fernando
dc.contributor.authorHuera Quinatoa, Axel Ismael
dc.date.accessioned2025-04-14T22:59:25Z
dc.date.issued2025-04-14
dc.descriptionThis study compared the main static code analysis tools available on the market in 2024 that were used to evaluate web development projects, in order to determine their usefulness and efficiency in detecting real vulnerabilities, as well as to identify differences in terms of effectiveness, analysis time and resource consumption. An experimental method complemented with a comparative method was used to perform controlled tests on two representative software projects. The approach adopted for the research corresponds to the quantitative and qualitative, with measurement techniques such as precision analysis, recall belonging to the metrics of the ROC curve, complemented with observation and documentary review. Although all the technologies used which include: SonarQube, Semgrep, OWASP ASST and HCL AppScan CodeSweep; were effective in detecting vulnerabilities significant differences were found, with which a usage guide was created with the tool that has the greatest balance between the metrics to measure the reliability of the tools evaluated. This indicates that the selection of appropriate tools is critical and must be adjusted to the specific characteristics of each project, highlighting the importance of incorporating these technologies early in the development cycle to mitigate security risks.
dc.description.abstractEn el presente estudio se comparó las principales herramientas de análisis de código estático disponibles en el mercado en 2024 que se utilizó para evaluar proyectos de desarrollo web, con el objetivo de determinar su utilidad y eficacia en la detección de vulnerabilidades reales, así como identificar diferencias en cuanto a efectividad, tiempo de análisis y consumo de recursos. Se empleó un método experimental complementado con un método comparativo para realizar pruebas controladas en dos proyectos software representativos. El enfoque adoptado para la investigación corresponde al cuantitativo y cualitativo, con técnicas de medición como el análisis de precisión, recall pertenecientes a las métricas de la curva ROC, complementadas con observación y revisión documental. Aunque todas las tecnologías utilizadas las cuales incluye a: SonarQube, Semgrep, OWASP ASST y HCL AppScan CodeSweep; fueron eficaces a la hora de detectar vulnerabilidades se encontraron diferencias significativas, con lo cual se creó una guía de uso con la herramienta que tiene el mayor equilibro ente las métricas para medir la fiabilidad de las herramientas evaluadas. Esto indica que la selección de herramientas adecuadas es crítica y debe ajustarse a las características específicas de cada proyecto, destacando la importancia de incorporar estas tecnologías en las primeras fases del ciclo de desarrollo para mitigar los riesgos de seguridad.
dc.identifier.urihttps://dspace.ueb.edu.ec/handle/123456789/8211
dc.language.isoes
dc.publisherUniversidad Estatal de Bolívar. Facultad de Ciencias Administrativas Gestión Empresarial e Informática. Carrera de Software
dc.relation.ispartofseriesFCCA.IS; 67
dc.subjectCÓDIGO SEGURO
dc.subjectHERRAMIENTAS SAST
dc.subjectVULNERABILIDADES
dc.subjectSEGURIDAD
dc.titleHerramientas de análisis de código seguro para el uso de desarrollo de software, año 2024
dc.typeThesis

Files

Original bundle

Now showing 1 - 1 of 1
Thumbnail Image
Name:
4._TesisAxelHuera.pdf
Size:
4.12 MB
Format:
Adobe Portable Document Format
Download

License bundle

Now showing 1 - 1 of 1
No Thumbnail Available
Name:
license.txt
Size:
1.71 KB
Format:
Item-specific license agreed upon to submission
Description:
Download

Collections

Ingeniería en Software