Table of Contents

Laborator 5: Analiza statică a codului

Laborator 5: Analiza statică a codului

Obiective

Aplicarea unor instrumente de analiză statică pentru identificarea vulnerabilităților din codul aplicației dezvoltate în laboratoarele anterioare
Detectarea și remedierea problemelor de securitate, performanță și calitate a codului
Integrarea analizei statice în pipeline-ul CI/CD pentru prevenirea introducerii de vulnerabilități

Cerințe tehnologice

Instrumente de analiză statică: SonarQube, Bandit (Python), ESLint (JavaScript), SpotBugs (Java)
CI/CD Pipeline: GitHub Actions/GitLab CI/CD/Jenkins pentru rularea automată a analizei
Reguli de securitate: OWASP Top 10, CWE (Common Weakness Enumeration)
Format de raportare: SARIF, JSON, HTML

Funcționalități

1. Configurarea instrumentelor de analiză statică

Instalarea și configurarea instrumentelor specifice limbajului utilizat în aplicație
Definirea regulilor de analiză bazate pe standarde de securitate și bune practici
Rularea manuală a analizei și interpretarea rezultatelor

2. Detectarea și remedierea vulnerabilităților

Identificarea problemelor raportate de analiză (SQL injection, XSS, utilizare de dependențe nesigure etc.)
Revizuirea codului și aplicarea corecțiilor necesare
Compararea rezultatelor înainte și după remediere

3. Integrarea analizei în pipeline-ul CI/CD

Automatizarea rulării analizei statice la fiecare commit/pull request
Configurarea unor praguri pentru acceptarea sau respingerea codului nou
Generarea și publicarea rapoartelor detaliate

Evaluare

Configurarea corectă a instrumentelor de analiză statică (30%)
Detectarea și remedierea vulnerabilităților identificate (40%)
Integrarea analizei statice în pipeline-ul CI/CD (30%)

Resurse suplimentare

[https://owasp.org/www-project-top-ten/ OWASP Top 10] / [https://cwe.mitre.org CWE Database]
[https://docs.sonarqube.org/latest/ SonarQube Documentation] / [https://pypi.org/project/bandit/ Bandit (Python)]
[https://eslint.org/docs/latest/ ESLint (JavaScript)] / [https://spotbugs.github.io SpotBugs (Java)]
[https://sarifweb.azurewebsites.net SARIF Specification]
Android Secure Coding Standard