Stagelopen en afstuderen bij Securify.

Static Code Analysis gericht op valkuilen van populaire Web-frameworks

Inleiding

Tools voor het uitvoeren van statische code analyse worden steeds beter, maar de ondersteuning voor populaire frameworks (STRUTS, Spring, Cake, Laravel, etc.) blijven achter op deze ontwikkelingen. Het gebruik van een verzameling regels en patches die er voor zorgen dat applicaties web frameworks herkennen zou zeer gewaardeerd worden door de developer- en security-community.

Opdrachtomschrijving

Op dit moment zijn Open Source Statische Analyse Tools (SCA) nog onvolledig in het kunnen herkennen van populaire webframeworks voor Java, PHP etc. Zo zijn bijvoorbeeld tools zoals Coala, Findbugs en PMD (etc.) niet in staat om goed framework specifieke beveiligingslekken, valkuilen of (mis)configuraties te detecteren. Op welke manier kunnen statische analyse tools worden uitgebreid, zodat deze betere resultaten kunnen bepalen in het herkennen van frameworks? Wat is de false-positive ratio nu en op welke manier kan deze verder verlaagd worden? Taken tijdens dit project:

•   Voer vooronderzoek uit naar de capabiliteit van SCA in combinatie met web-frameworks.
•   Bedenk en ontwikkel SCA-uitbreidingen waarmee framework-specifieke detecteert lekken die Securify geregeld tijdens haar werkzaamheden (code-reviews) tegenkomt.
•   Breid de plugins uit om de false-positive/negative ratio zo laag mogelijk te houden.

Eisen/wensen

•   Heeft affiniteit met cyber security en is hier los van school mee bezig.
•   Het is een prĂ© als je bekend bent met SCA.

Keywords: Static Code Analysis, web frameworks

Work with us →