Conceptual framework proposal for vulnerability detection during programming development
Abstract
Security vulnerabilities in software represent significant threats, with financial and reputational risks. Assessing security often occurs late in the Software Development Life Cycle (SDLC), resulting in costs and delays. This study proposes a framework that outlines the development of a tool aimed at advancing security validation during the implementation phase of the SDLC, promoting secure code from the outset. Objectives include vulnerability analysis, solutions, and rules for code analysis tools. The study fills a gap, providing guidance to enhance software development security.
Keywords:
vulnerability, framework, development, SDLC
References
Amazon Web Services, "O que é o SDLC (Ciclo de Vida de Desenvolvimento de Software)?" [link], 2023, acesso em: 29/10/2023.
J. Rodrigues, K. Cordovil, O. O. Junior, and R. Torres, "Investigação das práticas proativas de desenvolvimento de software seguro adotadas por pequenos times de desenvolvimento," in Anais do XLVIII Seminário Integrado de Software e Hardware. Porto Alegre, RS, Brasil: SBC, 2021, pp. 241–250. [Online]. Available: [link]
L. C. M. C. Santos, E. P. V. Prado, and M. L. Chaim, "Técnicas e ferramentas para detecção de vulnerabilidades em ambientes de desenvolvimento ágil de software," Brazilian Journal of Development, vol. 6, no. 6, pp. 53 577–53 594, 2020.
D. de Oliveira Gatto, "Arquitetura integrada de normas e frameworks de desenvolvimento de software seguro aplicada para apoiar a identificação de falhas na especificação de requisitos," Tese de Doutorado, Universidade Nove de Julho (UNINOVE), 2024.
C. Anley, The Shellcoder’s Handbook: Discovering and Exploiting Security Holes, 2nd ed. Wiley Publishing, Inc., 2007.
A. Sotirov, "Automatic vulnerability detection using static source code analysis," Master’s thesis, University of Alabama, 2005, acesso em: 29/10/2023.
B. Chess and G. McGraw, "Static analysis for security," IEEE Security & Privacy, vol. 2, no. 6, pp. 76–79, 2004, acesso em: 29/10/2023.
Amazon Web Services, "O que é DevSecOps?" [link], 2023, acesso em: 27/11/2023.
OWASP, "OWASP Top Ten – 2021. The Ten Most Critical Web Application Security Risks," [link], 2021, acesso em: 29/10/2023.
A. Carvalho, "Segurança de aplicações web e os dez anos do relatório OWASP Top Ten: O que mudou?" [link], 2014, acesso em: 27/11/2023.
T. Basso, "Uma abordagem para avaliação da eficácia de scanners de vulnerabilidades em aplicações web," Master’s thesis, Dissertação e Apresentação de Mestrado, 2010, acesso em: 29/10/2023.
IBM, "O que é o NIST Cybersecurity Framework?" [link], 2023, acesso em: 29/10/2023.
Microsoft Corporation, "Language Extensions Overview," [link], 2023, acesso em: 29/10/2023.
Microsoft, "Python Extension Template," [link], 2022, acesso em: 29/10/2023.
——, "Language Server Extension Guide," [link], 2023, acesso em: 29/10/2023.
F. Sandrini, "Análise de vulnerabilidades de segurança computacional com a implementação do desenvolvimento," Monografia de Graduação em Ciência da Computação, São Paulo, 2019.
J. Rodrigues, K. Cordovil, O. O. Junior, and R. Torres, "Investigação das práticas proativas de desenvolvimento de software seguro adotadas por pequenos times de desenvolvimento," in Anais do XLVIII Seminário Integrado de Software e Hardware. Porto Alegre, RS, Brasil: SBC, 2021, pp. 241–250. [Online]. Available: [link]
L. C. M. C. Santos, E. P. V. Prado, and M. L. Chaim, "Técnicas e ferramentas para detecção de vulnerabilidades em ambientes de desenvolvimento ágil de software," Brazilian Journal of Development, vol. 6, no. 6, pp. 53 577–53 594, 2020.
D. de Oliveira Gatto, "Arquitetura integrada de normas e frameworks de desenvolvimento de software seguro aplicada para apoiar a identificação de falhas na especificação de requisitos," Tese de Doutorado, Universidade Nove de Julho (UNINOVE), 2024.
C. Anley, The Shellcoder’s Handbook: Discovering and Exploiting Security Holes, 2nd ed. Wiley Publishing, Inc., 2007.
A. Sotirov, "Automatic vulnerability detection using static source code analysis," Master’s thesis, University of Alabama, 2005, acesso em: 29/10/2023.
B. Chess and G. McGraw, "Static analysis for security," IEEE Security & Privacy, vol. 2, no. 6, pp. 76–79, 2004, acesso em: 29/10/2023.
Amazon Web Services, "O que é DevSecOps?" [link], 2023, acesso em: 27/11/2023.
OWASP, "OWASP Top Ten – 2021. The Ten Most Critical Web Application Security Risks," [link], 2021, acesso em: 29/10/2023.
A. Carvalho, "Segurança de aplicações web e os dez anos do relatório OWASP Top Ten: O que mudou?" [link], 2014, acesso em: 27/11/2023.
T. Basso, "Uma abordagem para avaliação da eficácia de scanners de vulnerabilidades em aplicações web," Master’s thesis, Dissertação e Apresentação de Mestrado, 2010, acesso em: 29/10/2023.
IBM, "O que é o NIST Cybersecurity Framework?" [link], 2023, acesso em: 29/10/2023.
Microsoft Corporation, "Language Extensions Overview," [link], 2023, acesso em: 29/10/2023.
Microsoft, "Python Extension Template," [link], 2022, acesso em: 29/10/2023.
——, "Language Server Extension Guide," [link], 2023, acesso em: 29/10/2023.
F. Sandrini, "Análise de vulnerabilidades de segurança computacional com a implementação do desenvolvimento," Monografia de Graduação em Ciência da Computação, São Paulo, 2019.
Published
2024-11-27
How to Cite
ZYAHANA, Felipe Kenji; CUSTÓDIO, Anna Beatriz Santos; KNIHS, Everton; LOPES, Fabio Silva; SILVEIRA, Ismar Frango.
Conceptual framework proposal for vulnerability detection during programming development. In: LATIN AMERICAN CONGRESS ON FREE SOFTWARE AND OPEN TECHNOLOGIES (LATINOWARE), 21. , 2024, Foz do Iguaçu/PR.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2024
.
p. 229-238.
DOI: https://doi.org/10.5753/latinoware.2024.245739.
