Härdning och analys av programvaruleveranskedjor
- Diarienummer
- FUS21-0052
- Projektledare
- Monperrus, Martin
- Start- och slutdatum
- 220601-270531
- Beviljat belopp
- 31 038 952 kr
- Förvaltande organisation
- KTH - Royal Institute of Technology
- Forskningsområde
- Informations-, kommunikations- och systemteknik
Summary
Sammanhang. Företag som utvecklar programvara är i allt större utsträckning beroende av öppen källkod i form av bibliotek och verktyg för att leverera relevanta applikationer till sina kunder. Denna leveranskedja stödjer god praxis inom programvaruutveckling avseende återanvändning och modularisering. Samtidigt utgör den en risk beträffande tillförlitlighet, underhåll och säkerhet. Syfte. Mot denna bakgrund bygger projektet CHAINS avancerade tekniker och metoder för programvaruutveckling för att härda programvarubibliotek och utvecklingsverktyg. Projektet bidrar med ny teknologi som ger utvecklare precis kunskap för att bedöma och avvärja risker med att återanvända tredjepartsbibliotek. Forskningsplan. CHAINS är organiserat i tre forskningsområden och en demonstrator. Vi utvecklar algoritmer och verktyg för hotmodellering under utvecklingsfasen, säkra och tillförlitliga byggsystem samt övervakning av exekverande kod i leveranskedjan. Demonstratorn bedömer tillämpbarheten i projektresultaten genom att använda en leveranskedja för en produkt för säker kommunikation och digital integritet som utvecklas av PrimeKey Solutions AB. Resultat och relevans. CHAINS kommer att producera resultat som både levererar långsiktig nytta inom forskningen såväl som direkt nytta för svensk industri. Projektets omvärldspåverkan kommer att bedömas genom publikationer i excellenta vetenskapliga fora, öppen programvara, utbildning av doktorander samt presentationer på industrievenemang.
Populärvetenskaplig beskrivning
The software supply chain is defined as all software on which an organization relies to operate its activities. This spans a wide variety of applications, from payroll, travel, acquisition, to network administration tools and databases. The software supply chain has become a severe risk for companies in all sectors, as witnessed by several news headlines in the last years. A prominent example is the recent SolarWinds attack. Malicious actors accessed the continuous integration servers of a company named SolarWinds, inserting malware in their Orion monitoring and management software. Consequently, when the customers of SolarWinds upgraded their installation of Orion, they were all infected by the malware. These customers include public administrations and large corporations in the USA, out of which many were targets of further exploitation. Hardening the software supply chain has become a problem of utmost importance. In May 2021, the U.S. White House for instance signed an executive order explicitly mentioning the software supply chain as a key risk for society. While the scope, importance, and scale of software supply chain incidents greatly vary, their root causes are similar. The companies that supply a piece of software to customers (such as SolarWinds) use methods, tools and practices that are at the core of the risks highlighted above. They all rely on software reuse at large because it is a known best practice with respect to reliability and time-to-market. While software reuse is a key enabler for timely and powerful software applications, it can also be considered its Achille's heel: malicious actors can infect a target application from within a reused component, and entire software systems may crash because of a bug somewhere deep in the reuse chain. The CHAINS project builds advanced software development techniques and methods to harden the supply chain of software libraries and development tools. The project contributes with novel models, algorithms, analysis tools that provide developers with precise knowledge to assess and mitigate risks of reusing third-party libraries. The research covers the software engineering process in multiple steps; from design and development, to building and checking, as well as deployment. An open source product from the Swedish company Prime Key AB is used as demonstrator for the project results.