Análise da Composição do Software (Sca) como Medida para Reduzir o Risco Cibernético da Cadeia de Fornecimento

Abstract

Com o grande crescimento do setor tecnológico, ocorreu também o aumento da procura de software. Para responder rapidamente a esta necessidade, uma alternativa é a utilização de software já criado por terceiros, principalmente software open-source, o que resulta num processo de desenvolvimento mais eficiente. A utilização de software de terceiros, no entanto, acaba por criar uma dependência entre o software desenvolvido e os de terceiros, o que necessariamente levanta questões de segurança. Em especial, chama a atenção a possibilidade de vulnerabilidades, a necessidade de atender às condições impostas pelo licenciamento, e o facto de que os processos de desenvolvimento de terceiros podem utilizar premissas de segurança diferentes das desejadas. Desta forma, é necessário gerir e reduzir os riscos de segurança da utilização de software de terceiros, sendo este o papel da Análise de Composição de Software (SCA – Software Composition Analysis).O objetivo deste trabalho é o desenvolvimento de um procedimento que permite avaliar e selecionar ferramentas de SCA. Este procedimento pode ser utilizado, por exemplo, para selecionar ferramentas de SCA no contexto de um processo de aquisição de software num ambiente corporativo. Para este fim, o trabalho apresenta a SCA, a sua contextualização no âmbito dos ciclos de desenvolvimento de software, e os trabalhos relacionados. Para fins de construção do procedimento proposto, são apresentados e discutidos um conjunto de métricas e parâmetros que tipicamente podem ser utilizados na avaliação destas ferramentas. Por fim, o procedimento é aplicado e testado na prática, sendo a sua eficiência validada.Este trabalho é realizado no âmbito do estágio na empresa (do Mestrado de Segurança Informática da Universidade de Coimbra) Critical Software.

With the great growth of the technology sector, the demand for software has also increased. To quickly respond to this need an alternative is to use software already created by third parties, mainly open-source software, which results in a more efficient development process. The use of third-party software, however, ends up creating a dependency between the developed software and third-party software, which necessarily raises security issues. In particular, the possibility of vulnerabilities, the need to comply with licensing conditions, and the fact that third-party development processes may use different security assumptions than desired. Thus, it is necessary to manage and reduce the security risks of using third-party software, and this is the role of Software Composition Analysis (SCA).The objective of this work is to develop a procedure to evaluate and select SCA tools. This procedure can be used, for example, to select SCA tools in the context of a software procurement process in a corporate environment.To this end, the work presents SCA, its contextualization in the context of software development cycles, and related works. For the purposes of developing this procedure, a set of metrics and parameters that typically are used when evaluating these tools are presented and discussed. Finally, the procedure is applied and tested in practice, and its effectiveness is validated.This work is carried out in the scope of the internship at Critical Software of the MSc in Computer Security of the University of Coimbra.