| dc.description.abstract | Motivasjon: Denne masteroppgaven er en studie i forsyningskjedesikkerhet for programvare. Arbeidet var motivert av økningen i programvareangrep på forsyningskjeden ved bruk av ondsinnede programvarepakker.
Mål: Målet er å utvikle og evaluere AutoTrust, et terminalverktøy for å forbedre vurderingen av tredjeparts programvarepakker før man installerer dem. Vi ønsket også å vurdere hvilken informasjon som er nyttig for pakkeevaluering, fordelene og ulempene med slike terminalverktøy, samt finne ut hvordan AutoTrust sin risikovurderingen er sammenlignet med andre måter å vurdere programvarepakker.
Metode: Forskningsmetoden som ble brukt er "design science research". Vi brukte eksperimenter, dokumentstudier, spørreskjemaer og intervjuer til å samle inn data for å definere krav, designe, demonstrere og evaluere AutoTrust.
Resultater: Vi forelso og evaluerte flere tillitskriterier og fant ut at de mest nyttige handlet om foreldete pakker og avhengigheter, kjente sårbarheter, popularitet, utbredt bruk, lisens og kodebidragsytere. Den største fordelen med verktøy som AutoTrust var tidlig oppdagelse av risikable pakker, og hovedulempen var at det var vanskelig for utviklerne å forstå alle kriteriene som ble brukt i AutoTrust sin evaluering. Vi sammenlignet AutoTrust med andre verktøy, og fant ut at det var et verdifullt verktøy som var forskjellig fra eksisterende alternativer. Vi fant også at sikkerhetsverktøy bør kombineres med en manuell vurdering av pakker
Bidrag: Hovedbidraget vårt er selve verktøyet, AutoTrust. I tillegg har vi sett på om utviklere finner slike sikkerhetsverktøy nyttige. Et tredje bidrag er funnet av, eksempler på bruk og evaluering av tillittskriterier som kan brukes til å evaluere programvarepakker.
Begrensninger: Hovedbegrensningene i denne oppgaven var at vi kun sammenligner AutoTrust direkte med OpenSSF Scorecard og at vi bare fikk testet det på fire utviklere.
Konklusjon: Denne oppgaven viser hvordan AutoTrust kan brukes til å evaluere programvarepakker før de blir lagt til i et prosjekt og hvor nyttig utviklerne mener verktøyet er. I tillegg fant vi at man bør kombinere sikkerhetsverktøy med manuell evaluering av pakker og har kommet opp med mange tillitskriterier for programvare samt testet dens brukbarhet og viktighet.
Nøkkelord: AutoTrust, programvare, distribusjonskjede, sikkerhet, OpenSSF Scorecard, pre-installasjonsevaluering, tredjeparts programvarepakker, tredjepartskomponenter, NuGet | |
| dc.description.abstract | Motivation: This thesis is a study into software supply chain security for the pre-install phase. The work was motivated by the recent increase in software supply chain attacks through the use of malicious software packages.
Objective: The stated goal is to develop and evaluate AutoTrust, a CLI tool to improve the pre-install assessment of third-party software packages. We also wanted to consider what information is useful for evaluating packages, the advantages, and disadvantages of such tools, and find out how their risk assessment compares to other ways of assessing software packages.
Methods: The research method used is design science research. We used experiments, document studies, questionnaires, and interviews to gather the data for defining requirements, designing, demonstrating, and evaluating AutoTrust.
Results: We suggested and evaluated several trust criteria and found that the most useful were about deprecation or deprecated dependencies, known vulnerabilities, popularity, widespread use, license, and contributors. The main advantage of pre-install tools was the early detection of risky packages and the disadvantage was that it was hard for the developers to fully understand all the criteria used for the evaluation. From comparing AutoTrust to other tools we found it to be a valuable tool, distinct from existing alternatives, which highlights its usefulness. We also found that security tools should be combined with a manual inspection
of packages, and not replace this assessment.
Contribution: The main contribution of this work is AutoTrust. The contribution also includes exploring if users find pre-install tools valuable. The last major contribution is the presentation, use, and evaluation of new trust criteria that can be used in the assessment of software packages.
Limitations: The main limitations of this work are linked to only directly comparing AutoTrust to OpenSSF Scorecard, and only four developers testing AutoTrust and attending an interview.
Conclusion: This work highlights the significance of conducting pre-installation evaluations of software packages with AutoTrust, which proved to be useful for developers. We also found it preferred to combine the use of security tools with manual assessment for optimal results. Additionally, we have identified numerous
valuable trust criteria and evaluated their usability and importance.
Keywords: AutoTrust, software, supply chain, security, third-party, packages, dependency, pre-install assessment, OpenSSF Scorecard, NuGet | |
