Data collection for software security analysis
Askeli, Daniel (2016-06-03)
Askeli, Daniel
D. Askeli
03.06.2016
© 2016 Daniel Askeli. Tämä Kohde on tekijänoikeuden ja/tai lähioikeuksien suojaama. Voit käyttää Kohdetta käyttöösi sovellettavan tekijänoikeutta ja lähioikeuksia koskevan lainsäädännön sallimilla tavoilla. Muunlaista käyttöä varten tarvitset oikeudenhaltijoiden luvan.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:oulu-201606072460
https://urn.fi/URN:NBN:fi:oulu-201606072460
Tiivistelmä
There is a vast amount of data available on the Internet originating from multiple sources. Combining different sources is interesting as it can offer more information than separate sources. In addition current trends favoring open source projects and open information provide an interesting setting for security analysis.
However in order to utilize the data it needs to be harvested. In this work implementation of a document oriented time series data collection framework is presented. It provides features that make data collection easier compared to previously existing solutions. The framework is then used to collect data from two popular open source projects and relevant vulnerability data sources. The data is used to determine where in the source code the vulnerabilities locate and the locations are visualized. Results suggest that there is value to be gained from combining data sources. Internet tarjoaa valtavan määrän vapaasti saatavilla olevia datalähteitä. Näiden datalähteiden yhdistäminen on mielenkiintoista, sillä siten voidaan saada enemmän tietoa kuin erillisistä tietolähteistä. Lisäksi nykyiset avoimen lähdekoodin projekteja suosivat suuntaukset antavat mielenkiintoisen kehyksen tietoturvaanalyysille.
Jotta dataa voidaan käyttää, pitää se kuitenkin ensin kerätä. Tässä työssä esitetään dokumenttisuuntautunut aikasarjadatan keräämiseen tarkoitettu ohjelmistokehys. Kehys sisältää ominaisuuksia, jotka tekevät datan keräämisestä helpompaa verrattuna aikaisempiin ohjelmistoratkaisuihin. Kehystä käytetään datan keräämiseen kahdesta suositusta avoimen lähdekoodin projektista ja niihin liittyvistä haavoittuvuusdatalähteistä. Kerättyä dataa käytetään haavoittuvuuksien paikan selvittämiseen, minkä jälkeen ne visualisoidaan. Tulokset osoittavat, että tietolähteitä yhdistämällä voidaan saada lisäarvoa tietoturva-analyysissa.
However in order to utilize the data it needs to be harvested. In this work implementation of a document oriented time series data collection framework is presented. It provides features that make data collection easier compared to previously existing solutions. The framework is then used to collect data from two popular open source projects and relevant vulnerability data sources. The data is used to determine where in the source code the vulnerabilities locate and the locations are visualized. Results suggest that there is value to be gained from combining data sources.
Jotta dataa voidaan käyttää, pitää se kuitenkin ensin kerätä. Tässä työssä esitetään dokumenttisuuntautunut aikasarjadatan keräämiseen tarkoitettu ohjelmistokehys. Kehys sisältää ominaisuuksia, jotka tekevät datan keräämisestä helpompaa verrattuna aikaisempiin ohjelmistoratkaisuihin. Kehystä käytetään datan keräämiseen kahdesta suositusta avoimen lähdekoodin projektista ja niihin liittyvistä haavoittuvuusdatalähteistä. Kerättyä dataa käytetään haavoittuvuuksien paikan selvittämiseen, minkä jälkeen ne visualisoidaan. Tulokset osoittavat, että tietolähteitä yhdistämällä voidaan saada lisäarvoa tietoturva-analyysissa.
Kokoelmat
- Avoin saatavuus [34540]