Análise de resultados de ferramentas SAST em piplines CI

SILVA, Felipe Antonio Santos da

Use este identificador para citar ou linkar para este item: https://ric.cps.sp.gov.br/handle/123456789/40649

Título:	Análise de resultados de ferramentas SAST em piplines CI
Título(s) alternativo(s):	Analysis of SAST tool results in CI pipelines
Autor(es):	SILVA, Felipe Antonio Santos da
Orientador(es):	GOMES, José William Pinto
Outro(s) contribuidor(es):	BARBAN, Lídia Regina de Carvalho Freitas VIEIRA, Thiago da Silva
Tipo documental:	Monografia
Palavras-chave:	Sistemas de informação;Algoritmos;Python
Data do documento:	2-Dez-2025
Editor:	004
Referência Bibliográfica:	SILVA, Felipe Antonio Santos da. Análise de resultados de ferramentas SAST em piplines CI, 2025. Trabalho de Conclusão de Curso (Curso Superior de Tecnologia em Segurança da Informação) - Faculdade de Tecnologia de Americana “Ministro Ralph Biasi”, Americana, 2025.
Resumo:	Este trabalho propõe uma análise comparativa da eficiência, cobertura e precisão de três ferramentas de Análise Estática de Código (SAST): Semgrep, Bandit e CodeQL. As ferramentas foram integradas a pipelines de Integração Contínua (CI) utilizando a plataforma GitHub Actions, com o objetivo de detectar vulnerabilidades em um repositório Python propositalmente vulnerável. A metodologia empregou um ambiente controlado com workflow automatizado, executando as ferramentas sobre o mesmo código-fonte. A análise comparativa considerou a severidade e tipo de falha detectada, além da taxa de falsos positivos. Os resultados evidenciaram que o Bandit se mostrou eficaz para verificações rápidas e diretas; o Semgrep proporcionou ampla cobertura contextual; e o CodeQL alcançou a maior profundidade analítica ao rastrear fluxos de dados, resultando em menor incidência de falsos positivos. Conclui-se que a combinação dessas ferramentas amplia significativamente a eficácia das análises de segurança, reforçando o conceito de DevSecOps e promovendo a integração contínua da segurança ao ciclo de desenvolvimento de software. This study presents a comparative analysis of three Static Application Security Testing (SAST) tools Semgrep, Bandit, and CodeQL integrated into Continuous Integration (CI) pipelines using GitHub Actions. The goal was to evaluate their efficiency, coverage, and accuracy in detecting vulnerabilities within a purposely vulnerable Python source code. An experimental approach was adopted, executing each tool on the same repository and comparing results regarding severity, types of detections, and false positive rates. The results demonstrated that Bandit excels in fast and direct detections, Semgrep offers broader contextual coverage, and CodeQL provides deeper semantic analysis through data flow tracking and reduced false positives. The study concludes that combining multiple SAST tools enhances detection precision and reinforces DevSecOps practices by embedding security consistently throughout the software development lifecycle.
URI:	https://ric.cps.sp.gov.br/handle/123456789/40649
Aparece nas coleções:	Trabalhos de Conclusão de Curso

Arquivos associados a este item:

Arquivo	Descrição	Tamanho	Formato
20252S_Felipe Antonio Santos da Silva_OD2853.pdf		4.18 MB	Adobe PDF	Visualizar/Abrir
TA - Felipe Antonio Santos da Silva.pdf Restricted Access		286 kB	Adobe PDF	Visualizar/Abrir Solictar uma cópia

Mostrar registro completo do item Recomendar este item Visualizar estatísticas