Tietoturvariskit avoimen lähdekoodin JavaScript-kirjastoissa
Calonius, Emil (2022)
2022
Tietojenkäsittelytieteiden kandidaattiohjelma - Bachelor's Programme in Computer Sciences
Informaatioteknologian ja viestinnän tiedekunta - Faculty of Information Technology and Communication Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2022-05-23
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202205175029
https://urn.fi/URN:NBN:fi:tuni-202205175029
Tiivistelmä
Avoimen lähdekoodin kirjastojen käyttö web-ohjelmoinnissa on yleinen käytäntö, joka tuo ohjelmoijille paljon etuja esimerkiksi säästämällä aikaa, vaivaa sekä rahaa. Tämä käytäntö vaatii ohjelmoijilta kuitenkin tarkkuutta, sillä kirjastot voivat tuoda hyökkääjille uusia hyökkäysvektoreita tietoturva-aukkojen kautta. Tämän työn tavoite on tutkia minkälaisia riskejä avoimen lähdekoodin JavaScript-kirjastot tuovat web-ohjelmointiin. Lisäksi työssä esitetään konkreettisia toimia joihin kehittäjät voivat ryhtyä minimoidakseen tietoturvariskit.
Tutkielma on toteutettu kirjallisuuskatsauksena. Lähteinä toimivat alan tieteelliset artikkelit sekä konferenssipaperit, verkkojulkaisut ja raportit. Web-ohjelmointi on nopeasti kehittyvä ala, joten lähteiksi on valittu ensisijaisesti julkaisuja viimeisen viiden vuoden ajalta.
Tutkimuksen tulokset osoittavat, että riskejä tuottavat haavoittuvaiset sekä vanhentuneet kirjastot. Haavoittuvaiset kirjastot tarkoittavat kirjastoja, joissa syystä tai toisesta esiintyy haavoittuvaisuus. Usein syynä haavoittuvaisuudelle on kehittäjän tekemä ohjelmointivirhe. Haavoittuvaisen kirjaston tapauksessa olisi tärkeää, että sen ylläpitäjä saisi haavoittuvaisuuden korjattua mahdollisimman pian ja että hän kommunikoisi avoimesti kirjaston käyttäjien kanssa, jotta uusin päivitys tavoittaisi mahdollisimman monet ja että haavoittuvaisen version tuomat uhkat olisivat selvät. Vanhentuneiden kirjastojen tapauksessa haavoittuvaisuus on jo korjattu uusimmassa versiossa, mutta kirjaston käyttäjä ei ole vielä ottanut uusinta versiota käyttöön. Tällaisen tilanteen ehkäisemiseksi myös kirjaston käyttäjän on otettava itselleen vastuuta ja seurattava kirjaston ylläpitäjien viestintää sekä varmistettava ajoittain, että kirjastot ovat ajan tasalla.
Tutkielma on toteutettu kirjallisuuskatsauksena. Lähteinä toimivat alan tieteelliset artikkelit sekä konferenssipaperit, verkkojulkaisut ja raportit. Web-ohjelmointi on nopeasti kehittyvä ala, joten lähteiksi on valittu ensisijaisesti julkaisuja viimeisen viiden vuoden ajalta.
Tutkimuksen tulokset osoittavat, että riskejä tuottavat haavoittuvaiset sekä vanhentuneet kirjastot. Haavoittuvaiset kirjastot tarkoittavat kirjastoja, joissa syystä tai toisesta esiintyy haavoittuvaisuus. Usein syynä haavoittuvaisuudelle on kehittäjän tekemä ohjelmointivirhe. Haavoittuvaisen kirjaston tapauksessa olisi tärkeää, että sen ylläpitäjä saisi haavoittuvaisuuden korjattua mahdollisimman pian ja että hän kommunikoisi avoimesti kirjaston käyttäjien kanssa, jotta uusin päivitys tavoittaisi mahdollisimman monet ja että haavoittuvaisen version tuomat uhkat olisivat selvät. Vanhentuneiden kirjastojen tapauksessa haavoittuvaisuus on jo korjattu uusimmassa versiossa, mutta kirjaston käyttäjä ei ole vielä ottanut uusinta versiota käyttöön. Tällaisen tilanteen ehkäisemiseksi myös kirjaston käyttäjän on otettava itselleen vastuuta ja seurattava kirjaston ylläpitäjien viestintää sekä varmistettava ajoittain, että kirjastot ovat ajan tasalla.
Kokoelmat
- Kandidaatintutkielmat [10269]