Análisis de la efectividad del sistema de alertas de seguridad de GitHub = Measuring the effectiveness of security warnings on GitHub

Barrientos Moreno, María del Sol (2020). Análisis de la efectividad del sistema de alertas de seguridad de GitHub = Measuring the effectiveness of security warnings on GitHub. Proyecto Fin de Carrera / Trabajo Fin de Grado, E.T.S. de Ingenieros Informáticos (UPM), Madrid, España.

Description

Title: Análisis de la efectividad del sistema de alertas de seguridad de GitHub = Measuring the effectiveness of security warnings on GitHub
Author/s:
  • Barrientos Moreno, María del Sol
Contributor/s:
  • Großklags, Jens
  • Fisher, Felix
Item Type: Final Project
Degree: Grado en Matemáticas e Informática
Date: 15 October 2020
Subjects:
Faculty: E.T.S. de Ingenieros Informáticos (UPM)
Department: Otro
Creative Commons Licenses: Recognition - No derivative works - Non commercial

Full text

[img]
Preview
PDF - Requires a PDF viewer, such as GSview, Xpdf or Adobe Acrobat Reader
Download (2MB) | Preview

Abstract

El uso de GitHub como herramienta de colaboración reduce el tiempo de desarrollo de sotftware y permite a los usuarios crear soluciones más avanzadas. Sin embargo, debido al incremento en la complejidad computacional, la gestión de vulnerabilidades se convierte en una tarea más pesada para las empresas. Para dar solución al problema, GitHub ha elaborado un conjunto de herramientas que representan la primera solución centrada en reducir las vulnerabilidades relacionadas con la seguridad de sus proyectos. Al comienzo de la thesis se explicará en detalles la estrategia de seguridad propuesta por GitHub, después el estudio se centra en las alertas de seguridad generadas por Dependabot, el cual es un bot que escanea dependencias en proyectos GitHub, buscando posibles dependencias vulnerables. Después de entender en qué consiste el sistema de trabajo de Dependabot, para poder ser capaces de medir la efectividad de sus alertas de seguridad, se han diseñado una serie de test cases y se ha construido una herramienta que monitoriza la evolución de las dependencias en el proyecto distinguiendo los cambios realizados por el usuario de los realizados por Dependabot [1]. El estudio respresenta la primera vez en la cual Dependabot ha sido analizado objetivamente, esto ha permitido estraer los puntos débiles en los cuales GitHub debería trabajar para lograr que Dependabot obtenga una mayor aceptación por los usuarios y de esta forma, mejorar la seguridad de las dependencias del proyecto.---ABSTRACT---Using GitHub to collaborate, reduces exponentially the time it takes to develop software and allows users to create more evolved solutions. However, while increasing computer complexity, fixing vulnerabilities becomes a major task for organizations. In order to tackle the problem, GitHub started to develop tools which present a viable solution to cope with security vulnerabilities. In this study, we therefore give an overview over GitHub security strategy, although we mainly focus on alerts generated by Dependabot, which is a bot that scans dependencies of a GitHub project searching for security vulnerabilities. After an in-depth view of Dependabot working system, to be able to assess security alerts effectiveness, we designed several test cases and built a Dependabot security alerts analyzer [1]. The analyzer is capable of monitoring the evolution of vulnerable versions and distinguish the fixes done by the user from those carried out by Dependabot. It represents the first time when Dependabot has been objectively analyzed, it has allowed us to extract the weak points in which GitHub should work to achieve greater acceptance by users and therefore improve the security of project dependencies.

More information

Item ID: 66663
DC Identifier: https://oa.upm.es/66663/
OAI Identifier: oai:oa.upm.es:66663
Deposited by: Biblioteca Facultad de Informatica
Deposited on: 09 Apr 2021 07:14
Last Modified: 09 Apr 2021 07:14
  • Logo InvestigaM (UPM)
  • Logo GEOUP4
  • Logo Open Access
  • Open Access
  • Logo Sherpa/Romeo
    Check whether the anglo-saxon journal in which you have published an article allows you to also publish it under open access.
  • Logo Dulcinea
    Check whether the spanish journal in which you have published an article allows you to also publish it under open access.
  • Logo de Recolecta
  • Logo del Observatorio I+D+i UPM
  • Logo de OpenCourseWare UPM