Tietoturvallisuusnäkökohtien vaikutus muutostiedostojen hyväksymiseen avoimen lähdekoodin ohjelmistoprojekteissa
Ahlholm, Teemu (2013-05-27)
T. Ahlholm
27.05.2013
© 2013 Teemu Ahlholm. Tämä Kohde on tekijänoikeuden ja/tai lähioikeuksien suojaama. Voit käyttää Kohdetta käyttöösi sovellettavan tekijänoikeutta ja lähioikeuksia koskevan lainsäädännön sallimilla tavoilla. Muunlaista käyttöä varten tarvitset oikeudenhaltijoiden luvan.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:oulu-201306101585
https://urn.fi/URN:NBN:fi:oulu-201306101585
Tiivistelmä
Tässä tutkimuksessa analysoitiin tietoturvallisuusnäkökohtien vaikutusta avoimen lähdekoodin ohjelmistokehityksen kannalta olennaisiin muutostiedostoihin. Tutkimus kohdistui tietoturvaan ja sen huomioimiseen Bugzilla- virheidenraportointijärjestelmässä tapahtuvassa, avoimeen ohjelmistoarkkitehtuuriin perustuvan ja salatun tietoliikenteen mahdollistavan OpenSSH-tiedonsiirtoprotokollan muutostiedostojen hyväksymisprosessissa.
Aiheen valintaan vaikutti osaltaan myös aiheen potentiaalisuus avoimen lähdekoodin tietoturvan edistämiseksi ja mahdollinen muutostiedostojen hyväksymisprosessin jatkokehitys. Tutkimuksessa hyödynnettiin Bugzilla-järjestelmässä olleita, viralliseen OpenSSH-ohjelmistoversioon (release) hyväksyttyjä vuoden 2012 muutostiedostoja. Analyysi kohdistui muutostiedostojen hyväksymisprosessiin ja prosessiin liittyneisiin, käyttäjien luomiin tiketteihin ja dialogeihin, joiden sisältämä kommunikaatio käsitteli OpenSSH:n kehitystä ja ylläpitoa. Aineiston analysointi tapahtui sekä hakusanojen että sisällönanalyysin perusteella. Näissä analyyseissä huomioitiin kaikki tietoturvaan liittynyt sisältö.
Avoimen lähdekoodin ohjelmistojen muutostiedostojen hyväksymisprosessissa on tutkittu aiemmin mutta ei tietoturvanäkökulmasta. OpenSSH-ohjelmistoon kohdistuvana tämä tutkimus eroaa lähestymistavaltaan aiemmasta tutkimuksesta. Tämä tutkimus kohdistui tietoturvallisuusnäkökohtien vaikutukseen muutostiedostojen hyväksymisprosessissa. Tutkimuksessa olennaista oli selvittää, millainen oli tietoturvallisuusnäkökohtien vaikutus muutostiedostojen hyväksymiseen avoimen lähdekoodin ohjelmistoprojekteissa ja miten tietoturvaan vaikuttaviin mahdollisiin löydöksiin reagoitiin ennen muutostiedoston hyväksymistä ja liittämistä ohjelmiston lopulliseen julkaisuun.
Tämän tutkimuksen kannalta tärkein tulos oli, että vaikka tutkimuksen kohteena olleen ohjelmistotuotteen lopulliseen julkaisuun hyväksytty muutostiedosto liittyi tietoturvaan, ei tietoturvaa huomioitu tai kyseenalaistettu Bugzilla- ympäristössä käydyssä muutostiedostojen kehitysprosessissa tai hyväksymisprosessissa. Bugzillassa tapahtuvan OpenSSH-ohjelmistotuotteen lopullisiin ohjelmistoversioihin liitettyjen muutostiedostojen hyväksymisprosessi ei huomioinut, ottanut kantaa tai kyseenalaistanut muutostiedostojen tietoturvaa.
Koska näiden tikettien mahdollisiin epäkohtiin olisi puututtu usein viimeistään pääkäyttäjän toimesta, todettiin niiden olevan tutkimuksen kannalta analysoitavissa. Ohjelmistokehitystä tapahtuu myös ohjelmiston kehittäjien suljetulla postituslistalla, joka on tarkoitettu ainoastaan OpenSSH-ohjelmiston tietoturvaan liittyvien asioiden kehittämiseen ja toteuttamiseen.
Aiheen valintaan vaikutti osaltaan myös aiheen potentiaalisuus avoimen lähdekoodin tietoturvan edistämiseksi ja mahdollinen muutostiedostojen hyväksymisprosessin jatkokehitys. Tutkimuksessa hyödynnettiin Bugzilla-järjestelmässä olleita, viralliseen OpenSSH-ohjelmistoversioon (release) hyväksyttyjä vuoden 2012 muutostiedostoja. Analyysi kohdistui muutostiedostojen hyväksymisprosessiin ja prosessiin liittyneisiin, käyttäjien luomiin tiketteihin ja dialogeihin, joiden sisältämä kommunikaatio käsitteli OpenSSH:n kehitystä ja ylläpitoa. Aineiston analysointi tapahtui sekä hakusanojen että sisällönanalyysin perusteella. Näissä analyyseissä huomioitiin kaikki tietoturvaan liittynyt sisältö.
Avoimen lähdekoodin ohjelmistojen muutostiedostojen hyväksymisprosessissa on tutkittu aiemmin mutta ei tietoturvanäkökulmasta. OpenSSH-ohjelmistoon kohdistuvana tämä tutkimus eroaa lähestymistavaltaan aiemmasta tutkimuksesta. Tämä tutkimus kohdistui tietoturvallisuusnäkökohtien vaikutukseen muutostiedostojen hyväksymisprosessissa. Tutkimuksessa olennaista oli selvittää, millainen oli tietoturvallisuusnäkökohtien vaikutus muutostiedostojen hyväksymiseen avoimen lähdekoodin ohjelmistoprojekteissa ja miten tietoturvaan vaikuttaviin mahdollisiin löydöksiin reagoitiin ennen muutostiedoston hyväksymistä ja liittämistä ohjelmiston lopulliseen julkaisuun.
Tämän tutkimuksen kannalta tärkein tulos oli, että vaikka tutkimuksen kohteena olleen ohjelmistotuotteen lopulliseen julkaisuun hyväksytty muutostiedosto liittyi tietoturvaan, ei tietoturvaa huomioitu tai kyseenalaistettu Bugzilla- ympäristössä käydyssä muutostiedostojen kehitysprosessissa tai hyväksymisprosessissa. Bugzillassa tapahtuvan OpenSSH-ohjelmistotuotteen lopullisiin ohjelmistoversioihin liitettyjen muutostiedostojen hyväksymisprosessi ei huomioinut, ottanut kantaa tai kyseenalaistanut muutostiedostojen tietoturvaa.
Koska näiden tikettien mahdollisiin epäkohtiin olisi puututtu usein viimeistään pääkäyttäjän toimesta, todettiin niiden olevan tutkimuksen kannalta analysoitavissa. Ohjelmistokehitystä tapahtuu myös ohjelmiston kehittäjien suljetulla postituslistalla, joka on tarkoitettu ainoastaan OpenSSH-ohjelmiston tietoturvaan liittyvien asioiden kehittämiseen ja toteuttamiseen.
Kokoelmat
- Avoin saatavuus [29905]