Please use this identifier to cite or link to this item: https://repositorio.ufrn.br/handle/123456789/49331
Title: Desenvolvimento de uma ferramenta para identificação e classificação de security smells em dockerfiles
Other Titles: Development of a tool for identifying and classifying security smells in dockerfiles
Authors: Araújo, Mateus Medeiros de
Advisor: Borges Neto, João Batista
Keywords: Infraestrutura como código;Segurança de software;Análise estática de código;Docker;Dockerfiles;Security smells
Issue Date: 24-Sep-2021
Publisher: Universidade Federal do Rio Grande do Norte
Citation: ARAÚJO, Mateus Medeiros de. Desenvolvimento de uma ferramenta para identificação e classificação de Security Smells em Dockerfiles . Orientador: João Batista Borges Neto. Co-orientador: João Paulo de Souza Medeiros. 2021. 84f. Trabalho de Conclusão de Curso (Bacharelado em Sistemas de Informação) - Departamento de Computação e Tecnologia, Universidade Federal do Rio Grande do Norte, Caicó, 2021.
Portuguese Abstract: A infraestrutura como código é uma abordagem que vem sendo cada vez mais utilizada para criação e gerenciamento de infraestruturas de TI (Tecnologia da Informação) a partir de código- fonte. A ferramenta Docker faz uso de técnicas de infraestrutura como código, através de arquivos chamados Dockerfiles, para auxiliar na criação de uma infraestrutura. Todavia, Dockerfiles utilizados na criação de infraestruturas estão suscetíveis a uma má implementação, que pode acarretar em security smells. Security smells são indicativos de falhas de segurança em um código-fonte. Caso não sejam mitigados, security smells podem levar a falhas de seguranças que, se exploradas, podem causar enormes prejuízos. Contudo, apesar de diversos estudos sobre a identificação e potencial risco da presença de security smells em códigos Dockerfiles, até onde pudemos identificar, não existem ferramentas que verificam, de forma automática, a sua ocorrência. Portanto, o presente trabalho propõe o desenvolvimento de uma ferramenta de análise estática de código-fonte capaz de identificar security smells em Dockerfiles de forma automática. No presente trabalho, para fundamentar o desenvolvimento da ferramenta, foi realizada uma pesquisa bibliográfica para melhor compreensão das áreas de infraestrutura de TI, segurança de software e análise estática de código-fonte. Com isso, espera-se que a ferramenta aqui proposta possa auxiliar na identificação de possíveis falhas de segurança em Dockerfiles. Tornando possível realizar a mitigação destas vulnerabilidades de forma antecipada e, consequentemente, tornando as infraestruturas de TI e os seus serviços ainda mais seguros.
Abstract: Infrastructure as a code is an approach that is increasingly being used for the creation and management of IT (Information Technology) infrastructures from source code. The Docker tool makes use of techniques such as infrastructure as a code, through files called Dockerfiles, to assist in the creation of an infrastructure. However, Dockerfiles used for the creation of infrastructures are susceptible to misimplementations, which can result in security smells. Security smells are indicative of security flaws in a source code. If not mitigated, security smells can lead to security breaches that, if exploited, can cause huge losses. However, despite several studies on the identification and potential risk of the presence of security smells in Dockerfiles, as far as we could identify, there are no tools to automatically verify their occurrence. Therefore, the present work proposes the development of a static source code analysis tool capable of automatically identifying security smells in Dockerfiles. In the present work, to support the development of the tool, a bibliographic research was carried out to better understand the areas of IT infrastructure, software security and static analysis of source code. Thus, it is expected that the tool proposed here can assist in the identification of possible security flaws in Dockerfiles. Making it possible to mitigate these vulnerabilities in advance and, consequently, making IT infrastructures and their services even more secure.
URI: https://repositorio.ufrn.br/handle/123456789/49331
Appears in Collections:CERES - TCC - Sistemas de Informação

Files in This Item:
File Description SizeFormat 
TCC2_MATEUS_FINAL.pdf1,28 MBAdobe PDFView/Open


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.