Journal of Technical Research Journal of Technical Research Журнал технических исследований 2500-3313 85243 Информационные технологии и телекоммуникации Information technology and telecommunication Информационные технологии и телекоммуникации A Comparative Study of Static Code Analysis tools in CI/CD Pipelines Сравнительное исследование инструментов статического анализа кода в CI/CD-пайплайнов https://orcid.org/0000-0001-5104-5100 Терро Моайад Terro Moayad moaed.terro@gmail.com

аспирант технических наук;

graduate student of technical sciences;

 Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики Saint-Petersburg National Research University of Information Technologies, Mechanics and Optics 17 09 2024 17 09 2024 10 2 22 29 09 05 2024 17 05 2024 https://naukaru.ru/en/nauka/article/85243/view

В сфере современной разработки программного обеспечения конвейеры непрерывной интеграции и непрерывного развертывания (CI/CD) служат неотъемлемыми механизмами для поддержания качества, безопасности и эффективности кода. Инструменты статического анализа кода играют ключевую роль в этих конвейерах, автоматизируя обнаружение потенциальных уязвимостей и обеспечивая соблюдение стандартов кодирования. В этом сравнительном исследовании оцениваются и сравниваются ведущие инструменты статического анализа кода, используемые в конвейерах CI/CD, с упором на их возможности с точки зрения политик по умолчанию и настраиваемых политик, интеграции со средами разработки, форматов вывода и возможностей настройки. Анализируя и сравнивая такие инструменты, как KICS, tfsec, Trivy, Terrascan, Checkov и Semgrep OSS, это исследование направлено на то, чтобы дать представление об их сильных и слабых сторонах, помогая практикам принимать обоснованные решения для повышения качества и безопасности программного обеспечения на протяжении всего жизненного цикла разработки. Это исследование подчеркивает важность выбора подходящих инструментов на основе требований конкретного проекта, подчеркивая, что упреждающие меры безопасности в рабочих процессах CI/CD значительно повышают безопасность инфраструктуры и соответствие требованиям.

In the realm of modern software development, Continuous Integration and Continuous Deployment (CI/CD) pipelines serve as integral mechanisms for maintaining code quality, security, and efficiency. Static code analysis tools play a pivotal role within these pipelines by automating the detection of potential vulnerabilities and enforcing coding standards. This comparative study evaluates and contrasts leading static code analysis tools utilized in CI/CD pipelines, focusing on their capabilities in terms of default and custom policies, integration with development environments, output formats, and customization options. By analyzing and comparing tools such as KICS, tfsec, Trivy, Terrascan, Checkov, and Semgrep OSS, this study aims to provide insights into their strengths and limitations, aiding practitioners in making informed decisions to enhance software quality and security throughout the development lifecycle. This research underscores the importance of selecting appropriate tools based on project-specific requirements, emphasizing that proactive security measures within CI/CD workflows significantly bolster infrastructure safety and compliance.

 DevSecOps конвейеры CI/CD инфраструктура как код статический анализ кода сканирование безопасности инструменты с открытым исходным кодом обнаружение уязвимостей SAST безопасность конвейеров DevSecOps CI/CD Pipelines Infrastructure as Code Static Code Analysis Security Scanning Open-Source Tools Vulnerability Detection SAST Pipelines security

Джасфер Кэтрин Г. СРАВНИТЕЛЬНЫЙ АНАЛИЗ СРЕДСТВ ПЕРЕЧИСЛЕНИЯ ПОДОБЛАСТЕЙ И СТАТИЧЕСКОГО АНАЛИЗА КОДА // ЖУРНАЛ МЕХАНИКИ СРЕЗНЫХ СРЕД И МАТЕМАТИЧЕСКИХ НАУК. 2020. Том. 15, № 6. Jaspher Kathrine G. COMPARATIVE ANALYSIS OF SUBDOMAIN ENUMERATION TOOLS AND STATIC CODE ANALYSIS // JOURNAL OF MECHANICS OF CONTINUA AND MATHEMATICAL SCIENCES. 2020. Vol. 15, № 6. KICS – Обеспечение безопасности инфраструктуры как кода [Электронный ресурс]. KICS - Keeping Infrastructure as Code Secure [Electronic resource]. KICS — Инфраструктура с открытым исходным кодом как код | Checkmarx [Электронный ресурс]. URL: https://checkmarx.com/product/opensource/kics-open-source-infrastructure-as-code-project/ (дата обращения: 26.06.2024). KICS - Open Source Infrastructure as Code | Checkmarx [Electronic resource]. URL: https://checkmarx.com/product/opensource/kics-open-source-infrastructure-as-code-project/ (accessed: 26.06.2024). Аква Безопасность. Сканер безопасности статического анализа вашего кода Terraform [Электронный ресурс] // https://aquasecurity.github.io/tfsec/v1.28.1/. Aqua Security. A static analysis security scanner for your Terraform code [Electronic resource] // https://aquasecurity.github.io/tfsec/v1.28.1/. Эмануэльссон П., Нильссон У. Сравнительное исследование инструментов промышленного статического анализа // Электронные заметки Theor Comput Sci. 2008. Том. 217. С. 5–21. Emanuelsson P., Nilsson U. A Comparative Study of Industrial Static Analysis Tools // Electron Notes Theor Comput Sci. 2008. Vol. 217. P. 5–21. Зампетти Ф. и др. Как проекты с открытым исходным кодом используют инструменты статического анализа кода в конвейерах непрерывной интеграции // 14-я Международная конференция IEEE/ACM по репозиториям программного обеспечения для майнинга (MSR), 2017 г. IEEE, 2017. С. 334–344. Zampetti F. et al. How Open Source Projects Use Static Code Analysis Tools in Continuous Integration Pipelines // 2017 IEEE/ACM 14th International Conference on Mining Software Repositories (MSR). IEEE, 2017. P. 334–344. Фатима А., Биби С., Ханиф Р. Сравнительное исследование инструментов статического анализа кода для C/C++ // 15-я Международная Бхурбанская конференция по прикладным наукам и технологиям (IBCAST), 2018 г. IEEE, 2018. С. 465–469. Fatima A., Bibi S., Hanif R. Comparative study on static code analysis tools for C/C++ // 2018 15th International Bhurban Conference on Applied Sciences and Technology (IBCAST). IEEE, 2018. P. 465–469. Новак Ю., Крайнц А., Жонтар Р. Таксономия инструментов статического анализа кода // 33-я Международная конвенция MIPRO. 2010. С. 418–422. Novak J., Krajnc A., Žontar R. Taxonomy of static code analysis tools // The 33rd International Convention MIPRO. 2010. P. 418–422. Каур А., Найяр Р. Сравнительное исследование инструментов статического анализа кода для обнаружения уязвимостей в исходном коде C/C++ и JAVA // Procedia Comput Sci. 2020. Том. 171. С. 2023–2029. Kaur A., Nayyar R. A Comparative Study of Static Code Analysis tools for Vulnerability Detection in C/C++ and JAVA Source Code // Procedia Comput Sci. 2020. Vol. 171. P. 2023–2029.