Разработка методологии и сервиса определения защищенности ПО в части использования сторонних заимствований

ФИО студента: Бакин Александр Михайлович

Руководитель: Башун Владимир Владимирович

Кампус/факультет: Московский институт электроники и математики им. А.Н. Тихонова

Программа: Кибербезопасность (Магистратура)

Год защиты: 2024

В современном мире разработки программного обеспечения практически не осталось серьёзных проектов, которые бы в своей кодовой базе не использовали сторонние зависимости. По оценкам компании Tidelift 92% приложений содержат компоненты с открытом исходным кодом, при этом только 17% организаций имеют формальный процесс внедрения новых компонентов с открытым исходным кодом в свою кодовую базу [1]. При этом по данным компании Профископ мировая база проектов с открытым исходным кодом составляет более 200 млн проектов от более, чем 70 млн разработчиков. Кроме того, в настоящее время наблюдается заметный рост количества новых пакетных индексов в общедоступных репозиториях пакетов [2]. По данным исследовательской компании Gartner количество атак на цепочки поставок, такие как путаница зависимостей (Dependency Confusion), атаки на опечатки (Typosquatting) и внедрение вредоносного кода (Malicious Code Injection), растет в геометрической прогрессии [3]. Еще свежи воспоминания об уязвимости Log4Shell в широко используемой библиотеке Apache Log4j, которая позволяла удаленно выполнить произвольный код на сервере [4]. Для снижения рисков, связанных с атаками на цепочку поставок, существует класс решений для композиционного анализа исходного кода приложений (Software Composition Analysis, SCA). Данные решения позволяют анализировать сторонние компоненты, заимствованные в кодовой базе проекта, на предмет наличия существующих известных уязвимостей, однако, за скобками остаются вопросы, связанные с вероятностью эксплуатации данных уязвимостей в «дикой природе», а также вопросы безопасности самих репозиториев заимствованных сторонних компонентов. Кроме того, данные решения не предоставляют интегрального показателя защищенности программного обеспечения в части использования сторонних зависимостей. Данная работа направлена на совершенствование практик композиционного анализа программного обеспечения. Разработанная в рамках работы методология позволяет более гибко выстраивать процессы композиционного анализа в организациях. На основе разработанного в рамках работы программного решения возможно выстраивать Quality Gate (заранее определённые этапы, во время которых проект проверяется на соответствие необходимым критериям для перехода к следующему этапу) в конвейер непрерывной интеграции и непрерывного развертывания разрабатываемого программного обеспечения. Работа содержит 107 страниц, 5 рисунков, 8 таблиц, 29 источников, 3 приложения.

Выпускные квалификационные работы (ВКР) в НИУ ВШЭ выполняют все студенты в соответствии с университетским Положением и Правилами, определенными каждой образовательной программой.

Аннотации всех ВКР в обязательном порядке публикуются в свободном доступе на корпоративном портале НИУ ВШЭ.

Полный текст ВКР размещается в свободном доступе на портале НИУ ВШЭ только при наличии согласия студента – автора (правообладателя) работы либо, в случае выполнения работы коллективом студентов, при наличии согласия всех соавторов (правообладателей) работы. ВКР после размещения на портале НИУ ВШЭ приобретает статус электронной публикации.

ВКР являются объектами авторских прав, на их использование распространяются ограничения, предусмотренные законодательством Российской Федерации об интеллектуальной собственности.

В случае использования ВКР, в том числе путем цитирования, указание имени автора и источника заимствования обязательно.

Реестр дипломов НИУ ВШЭ