| Version imprimable |
| Understanding and preventing open-source software supply chain attacks (Comprendre et prévenir les attaques à la chaîne d’approvisionnement de logiciels open-source) | ||
Ladisa, Piergiorgio - (2024-04-09) / Université de Rennes - Understanding and preventing open-source software supply chain attacks Langue : Anglais Directeur de thèse: Barais, Olivier; Martinez, Matias; Ponta, Serena Elisa Laboratoire : IRISA Ecole Doctorale : MATISSE Thématique : Informatique | ||
Mots-clés : Sécurité Open-source, Attaques à la chaîne d’approvisionnement, Détection des logiciels malveillants, Logiciels libres Résumé : La modularisation des logiciels est cruciale pour le développement moderne, divisant des systèmes complexes en composants gérables et favorisant la réutilisation. L'open-source est central en fournissant des modules pré-construits, représentant jusqu'à 98\% des bases de code dans les piles technologiques. Cependant, il comporte des risques, l'automatisation et les dépendances complexes le rendent vulnérable aux attaques de la chaîne d'approvisionnement. Cette thèse vise à renforcer la sécurité de l'open-source et à protéger l'intégrité des chaînes d'approvisionnement. Elle explore les attaques de la chaîne d'approvisionnement open-source, propose une taxonomie des attaques et identifie les sauvegardes existantes. Nous détaillons également comment les dépendances tierces parviennent à s'exécuter sur les systèmes en aval et suggérons des méthodes de détection automatisées pour les paquets malveillants au sein des attaques de la chaîne d'approvisionnement open-source. Tout d'abord, nous évaluons une approche basée sur l'apprentissage automatique pour détecter les paquets malveillants en JavaScript et Python. Ensuite, nous évaluons une approche statique pour identifier les paquets malveillants en Java. Résumé (anglais) : Software modularization is a key practice in modern software development, dividing complex systems into manageable components and promoting reusability. Open-source is central, providing pre-built modules that boost productivity. It's widely used across tech stacks, forming a significant portion, up to 98%, of codebases. While open-source accelerates development and allows developers to focus on unique problems, it has inherent risks. Automation via package managers and intricate dependencies obscure chains from end-users, who implicitly trust each element, making open-source susceptible to supply chain attacks. The goal of this thesis is to enhance security and safeguard the integrity of open-source software supply chains. We explore open-source supply chain attacks, aiming to understand and prevent them. We propose a comprehensive, technology-agnostic taxonomy of these attacks and map existing safeguards that mitigate them. We also detail how third-party dependencies gain execution on downstream systems and suggest automated detection methods for malicious packages within open-source supply chain attacks. First, we assess a machine learning-based approach for detecting malicious packages in JavaScript and Python. Then, we evaluate a static approach to identify malicious packages in Java. Identifiant : rennes1-ori-wf-1-19273 | ||
| Exporter au format XML |