Valutazione di Strumenti di Analisi Statica della Sicurezza su Applicazioni Distribuite Open Source = Evaluation of Static Security Analysis Tools on Open Source Distributed Applications

L’obiettivo di questo lavoro di tesi è quello di valutare alcuni strumenti informatici utili all’analisi statica della sicurezza del codice, e di confrontarne le prestazioni in una scala di misurazione comune. L’analisi statica della sicurezza (anche detta SAST, Static Application Security Testing) è una metodologia di analisi utilizzata per ispezionare il codice sorgente, al fine di individuare delle eventuali vulnerabilità senza la necessità di eseguire effettivamente il programma. Essa sta ormai divenendo parte integrante dello sviluppo di applicazioni web distribuite, e parallelamente il mercato degli strumenti automatizzati volti ad effettuare questo tipo di analisi è in continuo sviluppo. Nel corso di questo lavoro di tesi il primo obiettivo è stato dunque quello di selezionare alcuni di questi strumenti in base a dei criteri predeterminati, e contemporaneamente di individuare alcune applicazioni Open Source distribuite che potessero costituire un campione vario e omogeneo. Il passo successivo è stato quello di eseguire le analisi in modo automatizzato, per poi effettuare una revisione manuale dei risultati necessaria a confermare o a smentire le segnalazioni restituite dagli strumenti. Infine l’ultimo obiettivo è stato quello di misurare alcuni parametri relativi alle prestazioni, al fine di fornire una valutazione e un confronto diretto tra gli strumenti. E’ stata adottata a questo scopo la metodologia di scoring proposta dall’OWASP Foundation, la quale permette di assegnare un punteggio quantitativo alle prestazioni dei vari strumenti, che tenga globalmente conto di più indicatori: ciò ha portato a poter stabilire quali fossero gli strumenti più accurati sia a livello complessivo, sia scendendo nello specifico delle tipologie e delle categorie di vulnerabilità. I risultati ottenuti sono generalmente in linea con quanto ci si aspettava, e potrebbero essere ulteriormente approfonditi mediante l’uso di strumenti di natura avanzata o di un campione più vario. Allo stesso modo, si potrebbero condurre ulteriori tipologie di ricerca che integrino i risultati già ottenuti, ad esempio mediante l’inserimento deliberato di specifiche vulnerabilità all’interno del codice.