Please use this identifier to cite or link to this item:
https://ric.cps.sp.gov.br/handle/123456789/40649| Title: | Análise de resultados de ferramentas SAST em piplines CI |
| Other Titles: | Analysis of SAST tool results in CI pipelines |
| Authors: | SILVA, Felipe Antonio Santos da |
| Advisor: | GOMES, José William Pinto |
| Other contributor: | BARBAN, Lídia Regina de Carvalho Freitas VIEIRA, Thiago da Silva |
| type of document: | Monografia |
| Keywords: | Sistemas de informação;Algoritmos;Python |
| Issue Date: | 2-Dec-2025 |
| Publisher: | 004 |
| Citation: | SILVA, Felipe Antonio Santos da. Análise de resultados de ferramentas SAST em piplines CI, 2025. Trabalho de Conclusão de Curso (Curso Superior de Tecnologia em Segurança da Informação) - Faculdade de Tecnologia de Americana “Ministro Ralph Biasi”, Americana, 2025. |
| Abstract: | Este trabalho propõe uma análise comparativa da eficiência, cobertura e precisão de três ferramentas de Análise Estática de Código (SAST): Semgrep, Bandit e CodeQL. As ferramentas foram integradas a pipelines de Integração Contínua (CI) utilizando a plataforma GitHub Actions, com o objetivo de detectar vulnerabilidades em um repositório Python propositalmente vulnerável. A metodologia empregou um ambiente controlado com workflow automatizado, executando as ferramentas sobre o mesmo código-fonte. A análise comparativa considerou a severidade e tipo de falha detectada, além da taxa de falsos positivos. Os resultados evidenciaram que o Bandit se mostrou eficaz para verificações rápidas e diretas; o Semgrep proporcionou ampla cobertura contextual; e o CodeQL alcançou a maior profundidade analítica ao rastrear fluxos de dados, resultando em menor incidência de falsos positivos. Conclui-se que a combinação dessas ferramentas amplia significativamente a eficácia das análises de segurança, reforçando o conceito de DevSecOps e promovendo a integração contínua da segurança ao ciclo de desenvolvimento de software. This study presents a comparative analysis of three Static Application Security Testing (SAST) tools Semgrep, Bandit, and CodeQL integrated into Continuous Integration (CI) pipelines using GitHub Actions. The goal was to evaluate their efficiency, coverage, and accuracy in detecting vulnerabilities within a purposely vulnerable Python source code. An experimental approach was adopted, executing each tool on the same repository and comparing results regarding severity, types of detections, and false positive rates. The results demonstrated that Bandit excels in fast and direct detections, Semgrep offers broader contextual coverage, and CodeQL provides deeper semantic analysis through data flow tracking and reduced false positives. The study concludes that combining multiple SAST tools enhances detection precision and reinforces DevSecOps practices by embedding security consistently throughout the software development lifecycle. |
| URI: | https://ric.cps.sp.gov.br/handle/123456789/40649 |
| Appears in Collections: | Trabalhos de Conclusão de Curso |
Files in This Item:
| File | Description | Size | Format | |
|---|---|---|---|---|
| 20252S_Felipe Antonio Santos da Silva_OD2853.pdf | 4.18 MB | Adobe PDF | View/Open | |
| TA - Felipe Antonio Santos da Silva.pdf Restricted Access | 286 kB | Adobe PDF | View/Open Request a copy |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.
