PROGETTAZIONE E SVILUPPO DI UN ANALIZZATORE DI SICUREZZA STATICA PER LIBRERIE OPEN SOURCE

Abstract

In the development of industrial software products, one of the standards to be respected is the security one, essential to ensure not only high quality software but also to ensure that it is not a vehicle for introducing security failures into the systems that host it. Today, software developers obtain great advantages from the use of third-party libraries and components with open source code as their time-saving combination. resources and costs and one good flexibility and adaptability to various use cases makes them a very attractive choice. The use of these libraries can become a problem if their adoption and integration does not take into account details and safety requirements. For this reason another fundamental aspect for producing quality software is the possibility to analyze and evaluate these libraries before and after their inclusion in your code/software. From this assumption was born the Gruppo SIGLAs desire to implement an analyzer of third-party libraries to support its technicians in compliance with specific quality requirements of code, in terms of safety and it is precisely in this context that the internship took part. The final goal of the internship was to implement an open source library analyzer and integrating it as a plugin within development environments (IDEs) such as Visual Study code. To complete this task, the following activities were outlined: • Context analysis • Identification of suitable technologies and analyzer design • Implementation of the analyzer • Integration of the parser as a plugin of an IDE (VS Code) • Validation of results on a "web application" project

Nello sviluppo di prodotti software di tipo industriale, uno degli standard da rispettare è quello della sicurezza, essenziale per garantire non solo un’alta qualità del software ma anche per fare in modo che quest’ultimo non sia un veicolo per l’introduzione di falle di sicurezza nei sistemi che lo ospitano. Ad oggi chi sviluppa software ottiene grandi vantaggi dall’uso di librerie e componenti di terze parti con codice open source in quanto la loro combinazione di risparmio di tempo. risorse e costi e una buona flessibilità e adattabilità ai vari casi d’uso le rende una scelta molto attraente. L’utilizzo di queste librerie però può diventare un’arma a doppio taglio se la loro adozione e integrazione non tiene in considerazione dettagli e requisiti di sicurezza. Per questo un altro aspetto fondamentale per produrre del software di qualità è quello di poter analizzare e valutare di queste librerie prima e dopo il loro inserimento nel proprio codice/software. Da questo presupposto è nata la volontà da parte di Gruppo SIGLA di implementare un analizzatore di librerie di terze parti per supportare i suoi tecnici nel rispetto di specifici requisiti di qualità del codice, in termini di sicurezza e proprio in questo contesto si è inserito il tirocinio. L’obiettivo finale del tirocinio è stato quello di implementare un analizzatore di librerie open source e l’integrazione di esso come plugin all’interno di ambienti di sviluppo (IDE) come ad esempio Visual Studio Code. Per portare a termine questo compito si sono delineate le seguenti attività: • Analisi del contesto • Identificazione tecnologie adeguate e progettazione analizzatore • Implementazione dell’analizzatore • Integrazione dell’analizzatore sintattico come plugin di un IDE (VS Code) • Validazione risultati su progetto “web application”