http://repositorio.unb.br/handle/10482/54553| File | Size | Format | |
|---|---|---|---|
| CarineDaSilvaFerreira_DISSERT.pdf | 674,04 kB | Adobe PDF | View/Open |
| Title: | Análise de usos incorretos de apis de criptografia java em uma instituição financeira |
| Authors: | Ferreira, Carine da Silva |
| Orientador(es):: | Almeida, Rodrigo Bonifacio de |
| Assunto:: | Segurança de software Análise estatística Criptografia Benchmark |
| Issue Date: | 1-Jun-2026 |
| Data de defesa:: | 8-Dec-2025 |
| Citation: | FERREIRA, Carine da Silva. Análise de usos incorretos de apis de criptografia java em uma instituição financeira. 2025. 63 f. Dissertação (Mestrado profissional em Computação Aplicada) — Universidade de Brasília, Brasília, 2025. |
| Abstract: | As vulnerabilidades decorrentes do uso incorreto de APIs de criptografia figuram entre as mais recorrentes segundo a OWASP. Para mitigar esse problema, ferramentas comerciais de análise estática têm sido adotadas cada vez mais amplamente pela indústria, enquanto a academia desenvolve soluções especializadas, como CogniCrypt e CryptoGuard. Embora existam estudos que avaliam essas ferramentas em benchmarks sintéticos ou derivados de projetos open source, ainda há pouca evidência sobre seu desempenho em cenários industriais reais. Diante dessa lacuna, este trabalho investiga o uso de ferramentas de análise estática no contexto da segurança de software de uma instituição financeira, com foco na detecção de vulnerabilidades decorrentes do uso inadequado de APIs de criptografia em aplicações Java. Além de analisar a eficácia dessas ferramentas, o estudo incorpora a perspectiva de TI Verde e as metas ESG/ASG, avaliando os custos operacionais e energéticos de integrar verificações de segurança em pipelines DevSecOps. Para atender a esse objetivo, conduzimos uma avaliação sistemática da acurácia e do desempenho de quatro ferramentas SAST---CogniCrypt, CryptoGuard, FindSecBugs/ SecBugs e Horusec---na identificação de usos incorretos de criptografia, bem como de seu consumo energético e emissões de CO2; quando orquestradas em um pipeline DevSecOps Verde. A investigação combinou duas etapas empíricas: (i) avaliação de acurácia utilizando o benchmark CamBench (subconjunto Cap); e (ii) análise de escalabilidade em 211 artefatos JAR de sistemas reais. As métricas consideradas incluíram precisão, recall, F1, tempo de execução, pico de memória, uso de CPU e estimativas de energia (kWh/Wh) e emissões de CO2. Entre os achados, identificamos que as ferramentas se comportaram de forma complementar: no benchmark CamBench, CogniCrypt e Horusec apresentaram melhor equilíbrio entre precisão e cobertura; o CryptoGuard teve desempenho intermediário; e o SecBugs exibiu o menor desempenho. Já nos sistemas reais, o SecBugs reportou o maior número de potenciais problemas, enquanto CogniCrypt e CryptoGuard tiveram comportamento mais conservador; a concordância entre as ferramentas para um mesmo caso foi rara, o que exigiu triagem manual.Quanto ao custo operacional, o CogniCrypt foi o mais rápido e leve; CryptoGuard e Horusec ficaram na faixa intermediária; e o SecBugs foi o mais oneroso em termos de tempo e memória. No consumo de energia, observou-se que, quanto maior o tempo de execução, maior o consumo, e que a ferramenta escolhida e o porte do sistema também modulam esse custo. Concluímos que a seleção de ferramentas deve considerar o objetivo da instituição (velocidade versus cobertura), adotar limites de tempo e priorizar alertas com consenso para reduzir falsos positivos, favorecendo uma esteira DevSecOps mais eficiente e alinhada à TI Verde. |
| Abstract: | Cryptography-API misuse vulnerabilities rank among the most recurrent issues according to OWASP. To mitigate this problem, commercial static analysis tools have been increasingly adopted across industry, while academia has developed specialized solutions such as CogniCrypt and CryptoGuard. Although prior studies evaluate these tools on synthetic benchmarks or datasets derived from open-source projects, there remains limited evidence of their performance in real industrial settings.Addressing this gap, this work investigates the use of static analysis tools in the software-security context of a financial institution, focusing on the detection of vulnerabilities related to improper use of cryptography APIs in Java applications. Beyond assessing tool effectiveness, the study incorporates a Green IT and ESG/ASG perspective by evaluating the operational and energy costs of integrating security checks into DevSecOps pipelines.To this end, we conducted a systematic assessment of the accuracy and performance of four SAST tools—CogniCrypt, CryptoGuard, FindSecBugs/SecBugs, and Horusec—in identifying cryptography misuse, as well as of their energy consumption and $CO_2$ emissions when orchestrated within a Green DevSecOps pipeline. The investigation combined two empirical stages: (i) an accuracy evaluation using the CamBench benchmark (Cap subset); and (ii) a scalability analysis over 211 JAR artifacts from real systems. The metrics considered included precision, recall, F1, execution time, peak memory, CPU usage, and energy (kWh/Wh) and $CO_2$-emission estimates.Among the findings, we observed complementary tool behavior: on CamBench, CogniCrypt and Horusec achieved a better balance between precision and coverage, CryptoGuard showed intermediate performance, and SecBugs exhibited the lowest performance. In real systems, SecBugs reported the largest number of potential issues, whereas CogniCrypt and CryptoGuard behaved more conservatively; cross-tool agreement on the same case was rare, requiring manual triage. Regarding operational cost, CogniCrypt was the fastest and lightest; CryptoGuard and Horusec fell in the intermediate range; and SecBugs was the most demanding in time and memory. For energy consumption, longer execution times were associated with higher consumption, and both the chosen tool and system size also modulated this cost. We conclude that tool selection should consider the institution’s objective (speed versus coverage), adopt time limits, and prioritize alerts with cross-tool consensus to reduce false positives, fostering a more efficient DevSecOps pipeline aligned with Green IT. |
| metadata.dc.description.unidade: | Instituto de Ciências Exatas (IE) Departamento de Ciência da Computação (IE CIC) |
| Description: | Dissertação (mestrado) — Universidade de Brasília, Instituto de Ciências Exatas, Departamento de Ciência da Computação, Programa de Pós-Graduação em Computação Aplicada, 2025. |
| metadata.dc.description.ppg: | Programa de Pós-Graduação em Computação Aplicada, Mestrado Profissional |
| Licença:: | A concessão da licença deste item refere-se ao termo de autorização impresso assinado pelo autor com as seguintes condições: Na qualidade de titular dos direitos de autor da publicação, autorizo a Universidade de Brasília e o IBICT a disponibilizar por meio dos sites www.unb.br, www.ibict.br, www.ndltd.org sem ressarcimento dos direitos autorais, de acordo com a Lei nº 9610/98, o texto integral da obra supracitada, conforme permissões assinaladas, para fins de leitura, impressão e/ou download, a título de divulgação da produção científica brasileira, a partir desta data. |
| Appears in Collections: | Teses, dissertações e produtos pós-doutorado |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.