GrammaTech lança ferramenta de segurança de API de código aberto

A ferramenta, chamada SWAP Detector, foi desenvolvida como parte de um projeto de pesquisa patrocinado pelo Departamento de Segurança Interna dos Estados Unidos (DHS) e a GrammaTech afirma que pode ser altamente útil para testes de segurança de aplicativos DevOps.

Muitos aplicativos de software dependem de APIs de terceiros e é importante para os desenvolvedores identificarem erros de uso da API, que podem apresentar problemas de segurança e confiabilidade.

O SWAP Detector analisa chamadas de função no código em um esforço para detectar possíveis erros de argumento trocados. Se tal erro for detectado, o usuário será avisado e o aviso também receberá uma pontuação.

A ferramenta pode ser integrada a produtos de análise estática, como Clang-Tidy, Clang Static Analyzer e PyLint. O SWAP Detector foca inicialmente em aplicativos escritos em C e C ++, mas GrammaTech diz que é aplicável a códigos escritos em outras linguagens de programação também, particularmente para linguagens interpretadas – ao invés de compiladas.

“O SWAP Detector usa várias técnicas de detecção de erros, colocadas em camadas para aumentar a precisão. Por exemplo, ele compara nomes de argumentos usados ​​em sites de chamadas com os nomes de parâmetros usados ​​nas declarações correspondentes ”, explicou GrammaTech.

“Além disso, ele usa técnicas de ‘Big Code’, aplicando informações estatísticas sobre usos de padrões de uso de API ‘conhecidos e bons’ coletados de um grande corpus de código e sinalizando usos que são estatisticamente anômalos como erros em potencial. Para melhorar a precisão dos avisos relatados, o SWAP Detector aplica estratégias de redução de falso-positivo à saída de ambas as técnicas ”, acrescentou.

Fonte: https://www.securityweek.com/grammatech-releases-open-source-api-security-tool