Análisis y corrección de vulnerabilidades de un producto software con SonarQube

Abstract

[ES] Un producto software debe pasar por diferentes fases durante su ciclo de vida. Este trabajo se centra en la fase de validación, añadiendo una nueva capa con el objetivo de entregar un producto libre de problemas de seguridad y que respete ciertas prácticas de codificación y despliegue seguros. La calidad del código afecta directamente a estas necesidades y su mejora ayuda a prevenir conflictos a medida que un proyecto aumenta de volumen y complejidad. SonarQube es un herramienta que nos permite analizar el código de un proyecto de forma automática, generando informes sobre los problemas de seguridad encontrados, entre los que se encuentran bugs, vulnerabilidades e incumplimiento de algunas buenas prácticas comúnmente utilizadas. En este trabajo se analiza con esta herramienta un producto software actualmente en producción con la intención de inspeccionar la información obtenida por estos informes, analizar la que resulte más relevante para el desarrollo de software seguro y buscar solución para el mayor número de vulnerabilidades que sean detectadas.

[EN] A software product must go through different phases during its life cycle. This paper focuses on the validation phase, adding a new layer with the goal of delivering a product free of security issues and respecting certain secure coding and deployment practices. Code quality directly affects these needs and its improvement helps to prevent conflicts as a project increases in volume and complexity. SonarQube is a tool that allows us to analyze the code of a project automatically, generating reports on the security problems found, including bugs, vulnerabilities and non-compliance with some commonly used good practices. In this work, a software product currently in production is analyzed with this tool with the intention of inspecting the information obtained from these reports, analyzing the most relevant information for the development of secure software and seeking solutions for the largest number of vulnerabilities detected.