This is an old revision of the document!
Laborator 5: Analiza statică a codului
Obiective
- Aplicarea unor instrumente de analiză statică pentru identificarea vulnerabilităților din codul aplicației dezvoltate în laboratoarele anterioare
- Detectarea și remedierea problemelor de securitate, performanță și calitate a codului
- Integrarea analizei statice în pipeline-ul CI/CD pentru prevenirea introducerii de vulnerabilități
Cerințe tehnologice
- Instrumente de analiză statică: SonarQube, Bandit (Python), ESLint (JavaScript), SpotBugs (Java)
- CI/CD Pipeline: GitHub Actions/GitLab CI/CD/Jenkins pentru rularea automată a analizei
- Reguli de securitate: OWASP Top 10, CWE (Common Weakness Enumeration)
- Format de raportare: SARIF, JSON, HTML
Funcționalități
1. Configurarea instrumentelor de analiză statică
- Instalarea și configurarea instrumentelor specifice limbajului utilizat în aplicație
- Definirea regulilor de analiză bazate pe standarde de securitate și bune practici
- Rularea manuală a analizei și interpretarea rezultatelor
2. Detectarea și remedierea vulnerabilităților
- Identificarea problemelor raportate de analiză (SQL injection, XSS, utilizare de dependențe nesigure etc.)
- Revizuirea codului și aplicarea corecțiilor necesare
- Compararea rezultatelor înainte și după remediere
3. Integrarea analizei în pipeline-ul CI/CD
- Automatizarea rulării analizei statice la fiecare commit/pull request
- Configurarea unor praguri pentru acceptarea sau respingerea codului nou
- Generarea și publicarea rapoartelor detaliate
Evaluare
- Configurarea corectă a instrumentelor de analiză statică (30%)
- Detectarea și remedierea vulnerabilităților identificate (40%)
- Integrarea analizei statice în pipeline-ul CI/CD (30%)
Resurse suplimentare
- [https://owasp.org/www-project-top-ten/ OWASP Top 10] / [https://cwe.mitre.org CWE Database]
- [https://docs.sonarqube.org/latest/ SonarQube Documentation] / [https://pypi.org/project/bandit/ Bandit (Python)]
- [https://eslint.org/docs/latest/ ESLint (JavaScript)] / [https://spotbugs.github.io SpotBugs (Java)]
- [https://sarifweb.azurewebsites.net SARIF Specification]
