Kui hästi oleksid olemasolevad staatilised turvavigade tuvastus tööriis-tad suutnud ennetada avalikult raporteeritud turvavigu iOS avatud lähtekoodiga teekides?
Nimi
Karl Jääts
Kokkuvõte
Turvavigade ennetamine on pidev ja väga oluline osa tarkvara arendusest, sest turvavigade olemasolu võib tekitada mitmeid suuri probleeme. Turvavigade ennetamiseks on loodud mitmeid eri meetodeid ja lähenemisi ja üheks neist on turvavigade tuvastus tööriistad. Selliseid tööriistu eksisteerib üsna palju aga pole selge kui efektiivsed nad on päris maailmas eksisteerivate turvavigade ennetamises. Selle väljaselgitamiseks testiti selles lõputöös turvavigade tuvastus tööriistatu iOS avatud lähtekoodiga teekides olevate avalikult raporteeritud turvavigade peal. Selliseid tööriistu on mitut tüüpi, nagu staatiline turvatestimine (SAST), dünaamiline turvatestimine (DAST), manuaalne testimine ja muud hübriid lähenemised. Selles töös kasutatakse SAST tööriistu, eelkõige nende kasutus lihtsuse tõttu. Testiti 5 SAST tööriista 81 avalikult raporteeritud turvaveal, mis esinesid 23-s teegis. Testitud turvavigadest 14 esinesid vähemalt ühe tööriista tulemuste seas, aga nende tööriistade raporteerimisviisi ja valepositiivsete tulemuste rohkuse tõttu paistab, et SAST tööriistad ei ole tugevad olemasolevate turvavigade leidmises. SAST tööriistade kasu turvavigade ennetamisel seisneb pigem arendajate parema kvaliteediga koodi kirjutamisele suunamisel ja arendajate informeerimisel kohtadest ja lähenemistest, mida on keeruline turvaliselt teostada, nii et nad teaksid nendes kohtades olla tähelepanelikud või alternatiivseid lähenemisi otsida.
Lõputöö keel
inglise
Lõputöö tüüp
Magister - Tarkvaratehnika
Juhendaja(d)
Kristiina Rahkema
Kaitsmise aasta
2023