Visualization of Vulnerabilities in Open Source Software Dependencies – Bc. Matěj Groman

Anotace:

Aktuální výzkum zdůrazňuje obtíže spojené s udržováním open-source knihoven a bezpečnostní rizika, která vznikají, pokud je knihovna zranitelná. Tato práce se zaměřuje na problém správy závislostí v softwarové bezpečnosti a potenciální využití vizualizace pro lepší správu zranitelností. Cílem je vyvinout prototypovou aplikaci s názvem DepVis, která se zaměřuje na vizualizaci závislostí třetích stran a s nimi spojených zranitelností. Funkcionalita nástroje je vyhodnocena na existujících projektech a výsledky ukazují, že může sloužit jako validní nástroj pro správu zranitelností. Shromážděná zpětná vazba je pozitivní, přičemž interaktivní vizualizace grafů závislostí je respondenty označena jako užitečná. DepVis přispívá k pomoci vývojářům lépe spravovat bezpečnost software pomocí vizualizačních nástrojů zapojených do existujícího workflow. …víceméně

Abstract:

Current research highlights the difficulties in maintaining open-source libraries and the security risks involved when a library becomes vulnerable. This thesis explores the issue of dependency management in software security and the potential use of visualization for better management of vulnerabilities. The aim is to develop a proof-of-concept tool named DepVis, which focuses on the visualization of third-party dependencies and their vulnerabilities. The tool is evaluated on real-world projects, and the results show it can serve as a valid tool for vulnerability management. The collected feedback is positive, with the interactive visualization of dependency graphs being highlighted as useful by the respondents. The DepVis contributes to a promising approach of helping developers better manage the security of their software supply chain by adopting visualization tools in their workflow. …víceméně