DISPONIBLE
EXPLORACIÓN DE HERRAMIENTAS DE ANÁLISIS ESTÁTICO PARA SCRIPTS DE IaC: UNA REVISIÓN SISTEMÁTICA
Andres Colque Rosas
Centro de Estudio de Posgrado e Investigación
I
2024
Español
Español -
Bolivia
Código: DDO-05-24
Ubicación Física: C765e/DDO-05-24
Carrera: libro.carrera
Título: EXPLORACIÓN DE HERRAMIENTAS DE ANÁLISIS ESTÁTICO PARA SCRIPTS DE IaC: UNA REVISIÓN SISTEMÁTICA
Autor Institucional:
INTRODUCCIÓN 1 1 Antecedentes y Justificación 1 2 Situación Problemática 2 3 Formulación del Problema de Investigación. 3 4 Objetivo General 3 5 Objetivos Específicos 4 6 Diseño Metodológico 4 6.1 Tipo de Investigación 4 6.1.1 Alcance de la Investigación 4 6.2 Métodos 5 6.2.1 Método Teóricos 5 6.2.2 Método Análisis - Síntesis 6 6.3 Técnica 6 6.4 Procedimientos e Instrumentos de Investigación 6 6.4.1 Procedimientos 6 6.4.2 Instrumentos de Investigación 7 CAPÍTULO I 8 1 MARCO TEÓRICO Y CONTEXTUAL 8 1.1 Marco Teórico 8 1.1.1 Infraestructura como Código (IaC) 8 1.1.2 Categorías de Infraestructuras como Código 8 1.1.3 Análisis estático 9 1.1.3.1 Diferencias principales de análisis de código estático de IaC y el tradicional. 9 1.1.4 Herramientas de análisis estático para scripts de IaC 10 1.1.5 Objetivos en herramientas de análisis estático en scripts de IaC 12 1.1.6 DevOps 13 1.1.7 Code Smells 14 1.1.8 Security Smells 15 1.2 Marco Contextual 15 CAPITULO II 17 2 DIAGNOSTICO 17 2.1 Introducción 17 2.1.1 Procesamiento y Análisis de Datos 17 2.1.1.1 Herramientas de análisis estático para scripts de IaC 17 2.1.1.2 Características técnicas de herramientas de análisis estático para scripts de IaC 18 2.1.1.3 Características operacionales de herramientas de análisis estático para scripts en IaC. 19 2.1.1.4 Criterio de evaluación para plantear preguntas para la selección de herramientas de análisis estático en scripts de IaC. 19 2.1.2 Tabulación y Codificación de Datos 20 2.1.2.1 Características técnicas de herramientas de análisis estático para scripts de IaC 20 2.1.2.2 Características operacionales 25 2.1.3 Análisis y Discusión de Resultados 29 2.1.3.1 Herramientas de análisis estático más utilizadas en scripts de Infraestructura como Código (IaC). 29 2.1.3.2 Clasificación de herramientas de análisis estático para scripts de Infraestructura como Código (IaC) según sus características técnicas 30 2.1.3.3 Clasificación de herramientas de análisis estático para scripts de Infraestructura como Código según sus características operacionales. 32 2.1.3.4 Preguntas guía para la elección de herramientas de análisis estático, adaptadas a scripts de IaC. 34 2.1.4 Conclusiones y Recomendaciones 35 Bibliografía 37 ANEXOS 41 ANEXO A Lenguajes soportados 41 ANEXO B Técnica de análisis 43 ANEXO C Categorización de la herramienta en las áreas de IaC 46 ANEXO D Integración con IDE, control de versiones o CI/CD 48 ANEXO E Licencia o costo 50 ANEXO F Soporte y documentación 52 ÍNDICE DE TABLAS Tabla 1 Herramientas respaldadas por publicaciones académicas 18 Tabla 2 Herramientas populares en la industria de la tecnología 18 Tabla 3 Lenguajes soportado por herramientas de análisis estático en scripts de IaC 20 Tabla 4 Técnicas de herramientas de análisis estático en scripts de IaC 21 Tabla 5 Objetivo de análisis de las herramientas de análisis estático en IaC 22 Tabla 6 Categorización de herramientas de análisis estático en scripts de IaC 24 Tabla 7 Integración de herramientas de análisis estático en IaC con IDEs, sistemas de sontrol de versiones y Pipelines de CI/CD 25 Tabla 8 Licencia o costo de herramientas de análisis estático en scripts de IaC 26 Tabla 9 Documentación y soporte de herramientas de análisis estático en scripts de IaC 28 Tabla 10 Herramientas de análisis estático para scripts de IaC 29 Tabla 11 Características técnicas de herramientas de análisis estático en scripts de IaC 30 Tabla 12 Características operacionales de herramientas de análisis estático en scripts de IaC 32 Tabla 13 Preguntas guía para la elección de herramientas de análisis estático, adaptadas a scripts de IaC. 34 ÍNDICE DE FIGURAS Figura 1 Intersección DevOps 13 Figura 2 Ciclo de desarrollo en DevOps 14
La Infraestructura como Código (IaC) automatiza la gestión de infraestructuras, mejorando la eficiencia y consistencia en su administración. Sin embargo, la complejidad y diversidad de las tecnologías utilizadas presentan desafíos en la detección de errores y vulnerabilidades en los scripts de IaC. Este estudio evalúa herramientas de análisis estático para mejorar la calidad y seguridad de estas infraestructuras, proporcionando una guía para su selección adecuada. El objetivo del estudio es evaluar y clasificar las herramientas de análisis estático para scripts de IaC según sus características técnicas y operacionales, facilitando su selección en entornos DevOps. Se realiza una revisión sistemática de la literatura y un análisis comparativo de 21 herramientas utilizando métodos documentales y bibliográficos. Se identifican 21 herramientas, destacando Checkov, KICS, Snyk IaC, Terrascan, Tfsec y Trivy por su capacidad para detectar errores y vulnerabilidades. Algunas herramientas sobresalen por su integración con CI/CD y soporte para múltiples lenguajes, lo que las hace más versátiles y útiles en diversos entornos de desarrollo. Además, se presenta una guía de preguntas detalladas para ayudar en la selección de la herramienta más adecuada según el entorno y los requerimientos específicos. La selección de herramientas considera tanto las características técnicas como las operacionales. Es esencial realizar pruebas prácticas, capacitar continuamente a los equipos y desarrollar nuevas técnicas de detección utilizando inteligencia artificial, combinadas con otras prácticas de seguridad. Este estudio proporciona una evaluación exhaustiva y una clasificación de herramientas de análisis estático para scripts de IaC, además de una guía práctica de preguntas para una correcta selección. Estas contribuciones mejoran la toma de decisiones en la implementación de IaC, optimizando la calidad y seguridad de las infraestructuras gestionadas mediante este enfoque.