Bridging the Gap Between Software Security and Development using CodeQL

Abstract

Denne oppgaven evaluerer bruken av CodeQL som et statisk analyse-verktøy for å styrke cybersikkerhetpraksiser, med fokus på kunnskapsmangelen observert av tredjeårs dataingeniørstudenter ved Norges Teknisk-Naturvitenskapelige Universitet (NTNU). Denne mangelen påpeker områder hvor den eksisterende læreplanen kan forbedres. Metoden inkluderte bruk av CodeQL på eksisterende applikasjoner, i stedet for å implementere det i en utviklingsprosess. Dette inkluderte faser for å gjennomgå CodeQL-dokumentasjon, oppsett av programmeringsmiljø, anvendelsen på kodebasen som ble undersøkt, og refleksjon av resultatene.

Utfordringene med overgangen fra teoretisk læring til praktisk anvendelse avdekket en bratt læringskurve og betydelige kunnskapsmangler i både sårbarhetdeteksjon og bruk av CodeQL. Selv om ingen definitive sårbarheter ble identifisert, forbedret bruken av CodeQL teamets forståelse av både verktøyet, og bredere cybersikkerhetskonsepter. Studien anbefaler integrering av verktøy som CodeQL i IT-læreplaner for å fremme en "sikkerhet først" tankegang blant nye utviklere. Den understreker viktigheten av å integrere sikkerhet tidlig i utdannelsen for å forberede studenter på utfordringer i arbeidslivet. Denne tilnærmingen har som mål å redusere fremtidige sårbarheter og forbedre programvaresikkerheten.

This thesis evaluates the application of CodeQL as a static analysis tool to enhance cybersecurity practices, focusing on the knowledge gap identified by third-year computer science students at the Norwegian University of Science and Technology (NTNU). This gap highlights areas where the existing curriculum could be improved. The method involved using CodeQL on pre-existing applications, rather than implementing it in active development. This included phases of reviewing CodeQL documentation, environment setup, application on target repositories, and reflecting on the results.

Challenges in transitioning from theoretical learning to practical application revealed steep learning curves, and significant knowledge gaps in both vulnerability detection and CodeQL usage. Although no definitive vulnerabilities were identified, using CodeQL significantly enhanced the team's understanding of the tool and broader cybersecurity concepts. The study advocates for integrating tools like CodeQL into IT curricula to foster a security-first mindset among new developers. It emphasizes the importance of embedding security early in education to prepare for real-world challenges. This approach aims to reduce future vulnerabilities and enhance software security by integrating practical tools into software development education.