Análise de resultados de ferramentas SAST em piplines CI
Carregando...
Data
Autores
Título da Revista
ISSN da Revista
Título de Volume
Editor
004
Resumo
Este trabalho propõe uma análise comparativa da eficiência, cobertura e precisão de três ferramentas de Análise Estática de Código (SAST): Semgrep, Bandit e CodeQL. As ferramentas foram integradas a pipelines de Integração Contínua (CI) utilizando a plataforma GitHub Actions, com o objetivo de detectar vulnerabilidades em um repositório Python propositalmente vulnerável. A metodologia empregou um ambiente controlado com workflow automatizado, executando as ferramentas sobre o mesmo código-fonte. A análise comparativa considerou a severidade e tipo de falha detectada, além da taxa de falsos positivos. Os resultados evidenciaram que o Bandit se mostrou eficaz para verificações rápidas e diretas; o Semgrep proporcionou ampla cobertura contextual; e o CodeQL alcançou a maior profundidade analítica ao rastrear fluxos de dados, resultando em menor incidência de falsos positivos. Conclui-se que a combinação dessas ferramentas amplia significativamente a eficácia das análises de segurança, reforçando o conceito de DevSecOps e promovendo a integração contínua da segurança ao ciclo de desenvolvimento de software.
This study presents a comparative analysis of three Static Application Security Testing (SAST) tools Semgrep, Bandit, and CodeQL integrated into Continuous Integration (CI) pipelines using GitHub Actions. The goal was to evaluate their efficiency, coverage, and accuracy in detecting vulnerabilities within a purposely vulnerable Python source code. An experimental approach was adopted, executing each tool on the same repository and comparing results regarding severity, types of detections, and false positive rates. The results demonstrated that Bandit excels in fast and direct detections, Semgrep offers broader contextual coverage, and CodeQL provides deeper semantic analysis through data flow tracking and reduced false positives. The study concludes that combining multiple SAST tools enhances detection precision and reinforces DevSecOps practices by embedding security consistently throughout the software development lifecycle.
This study presents a comparative analysis of three Static Application Security Testing (SAST) tools Semgrep, Bandit, and CodeQL integrated into Continuous Integration (CI) pipelines using GitHub Actions. The goal was to evaluate their efficiency, coverage, and accuracy in detecting vulnerabilities within a purposely vulnerable Python source code. An experimental approach was adopted, executing each tool on the same repository and comparing results regarding severity, types of detections, and false positive rates. The results demonstrated that Bandit excels in fast and direct detections, Semgrep offers broader contextual coverage, and CodeQL provides deeper semantic analysis through data flow tracking and reduced false positives. The study concludes that combining multiple SAST tools enhances detection precision and reinforces DevSecOps practices by embedding security consistently throughout the software development lifecycle.
Descrição
Palavras-chave
Citação
SILVA, Felipe Antonio Santos da. Análise de resultados de ferramentas SAST em piplines CI, 2025. Trabalho de Conclusão de Curso (Curso Superior de Tecnologia em Segurança da Informação) - Faculdade de Tecnologia de Americana “Ministro Ralph Biasi”, Americana, 2025.
