On the security risks of open source consumption : vulnerabilities and supply-chain attacks in the era of open-source-based software development

Version imprimable

On the security risks of open source consumption : vulnerabilities and supply-chain attacks in the era of open-source-based software development
(Risques de sécurité liés à la consommation de logiciels libres : vulnérabilités et attaques de la chaîne d’approvisionnement à l’ère du développement de logiciels basés sur l’Open Source)

Plate, Henrik - (2024-09-12) / Université de Rennes
On the security risks of open source consumption : vulnerabilities and supply-chain attacks in the era of open-source-based software development

Langue : Anglais
Directeur de thèse: Jézéquel, Jean-Marc
Laboratoire : IRISA
Ecole Doctorale : MATISSE

Thématique : Informatique

Accès à la ressource :

https://ged.univ-rennes1.fr/nuxeo/site/esupversion...

Mots-clés : Gestion des vulnérabilités, bibliothèques et dépôts de logiciels, logiciels libres, sécurité des logiciels et des applications, logiciels malveillants, Logiciels libres

Résumé : L’utilisation de composants de logiciels libres (OSS) pendant le développement d’applications comporte des risques de sécurité, à la fois pour les organisations de développement et pour les utilisateurs ﬁnaux des applications. Cela a été démontré à de nombreuses reprises au cours de la dernière décennie, depuis la vulnérabilité Heartbleed dans OpenSSL (2014) jusqu’à la récente attaque de la chaîne d’approvisionnement sur XZ Utils (2024). Cette thèse aborde deux problèmes importants dans le domaine du développement de logiciels libres: la consommation de composants dont les vulnérabilités sont connues et la consommation de paquets malveillants. Le premier problème est abordé par le développement d’une approche centrée sur le code pour détecter, évaluer et mettre à jour les dépendances open source à vulnérabilité connue. Le deuxième problème est abordé en fournissant une description systématique des vecteurs d’attaque spéciﬁques aux logiciels libres, un examen des paquets malveillants utilisés dans des attaques réelles et une exploration des techniques d’attaque spéciﬁques à l’écosystème Java.

Résumé (anglais) : The consumption of open source software (OSS) components during application development comes with security risks, both for development organizations and application end-users. This has been demonstrated numerous times in the last decade, starting from the Heartbleed vulnerability in OpenSSL (2014) to the recent supply chain attack on XZ Utils (2024). This thesis tackles two relevant problems in the area of OSS-based software development: the consumption of components with known vulnerabilities, and the consumption of malicious packages. The first problem is addressed through the development of a code-centric approach to detecting, evaluating and updating known-vulnerable open source dependencies. The second problem is addressed by providing a systematic description of OSS-specific attack vectors, a review of malicious packages used in real-world attacks, and an exploration of attack techniques specific to the Java ecosystem.

Identifiant : rennes1-ori-wf-1-19723

Exporter au format XML