Please use this identifier to cite or link to this item: http://bibdigital.epn.edu.ec/handle/15000/21581
Title: Análisis correlacional entre métricas de proceso y defectos de seguridad en scripts de infraestructura como código (IaC)
Authors: Cueva Anchapaxi, Carlos Andrés
Keywords: INGENIERÍA DE SOFTWARE
INFRAESTRUCTURA
MÉTRICAS DE PROCESO
Issue Date: 24-Apr-2020
Publisher: Quito, 2020.
Citation: Cueva Anchapaxi, C. A. (2020). Análisis correlacional entre métricas de proceso y defectos de seguridad en scripts de infraestructura como código (IaC). 49 hojas. Quito : EPN.
Abstract: Infrastructure as Code (IaC) is fundamental in DevOps practice and is important to make sure that IaC scripts are security defects free so we can avoid introduce security weakness to the technological infrastructure or systems managed. To accomplish this goal is necessary to identify associated factors with these kinds of anomalies and fix each one. This work executes a correlational analysis with process metrics, related to software defects in source code, and security defects in IaC scripts, so we can find out the correlation level between these variables and know whether process metrics are factors correlated to security defects in scripts Puppet. Puppet repositories are downloaded from GitHub to collect process metrics and security defects are identified using static code analysis. Results allow to know that process metrics such number of revisions, number of authors revisions, number of modified lines, average number of modified lines per revision, scripts age, and security defects such admin by default, empty password, hard-coded secret, invalid IP address binding, suspicious comment, HTTP without TLS and weak cryptography algorithm, are very low correlated, with Spearman coefficient equal or less than 0.23.
Description: La Infraestructura como Código (IaC) cumple un rol fundamental en la práctica DevOps y es vital asegurar que los scripts de IaC están libres de defectos de seguridad, de tal manera, evitar introducir debilidades de seguridad en la infraestructura tecnológica o sistemas gestionados. Para cumplir este objetivo es necesario identificar los factores asociados con estas anomalías en un script de IaC y corregir cada uno. Este trabajo ejecuta análisis correlacional entre métricas de procesos, relacionadas con defectos en archivos de código fuente, y defectos de seguridad en scripts de IaC con el propósito de determinar el nivel de correlación entre estas variables y conocer si las métricas de proceso son factores correlacionados con defectos de seguridad en scripts Puppet. Repositorios Puppet de GitHub son recolectados para extraer las métricas asociadas a los scripts y los defectos de seguridad son identificados usando análisis estático de código. Los resultados permiten determinar que las métricas de procesos número de revisiones, número de autores de revisiones, número de líneas modificadas, número promedio de días entre revisiones, número promedio de líneas modificadas por revisión y edad del script, y defectos de seguridad, como administrador por defecto, contraseña vacía, secretos codificados, comentarios sospechosos, acceso sin restricción, HTTP sin TLS y algoritmo de criptografía débil, presentan correlación muy débil o despreciable, con coeficiente de correlación Spearman menor o igual a 0.23.
URI: http://bibdigital.epn.edu.ec/handle/15000/21581
Appears in Collections:Tesis Maestría en Software (FIS)

Files in This Item:
File Description SizeFormat 
CD 10358.pdf839,24 kBAdobe PDFView/Open


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.