Einreichung für das ACM DTRAP Journal akzeptiert
In unserer Arbeit analysieren wir im Detail, wie die Betreuer von Software-Bibliotheken auf die Bekanntmachung und Veröffentlichung von Sicherheitslücken reagieren, und wie lange es dauert bis Patches vorhanden sind. Dabei fokussieren wir uns inbesondere auf Sicherheitslücken die in transitiven Abhängigkeiten von Bibliotheken enthalten sind, da diese oft schwer zu identifizieren sind.
Als Grundlage unserer Analyse präsentieren wir zunächst ein Tool zum Erstellen von Artefakt-Abhängigkeitsgraphen für ganze Repositories, und führen dieses für Maven Central, die NPM Registry und NuGet.org aus. Wir annotieren die resultierenden Graphen mit Daten zu Sicherheitslücken (bereitgestellt von Snyk Ltd.), sodass wir dann deren direkten und transitiven Einfluss auswerten können. Unser Datensatz enthält Informationen zu insgesamt 21.8 Millionen Software-Artefakten, die sich auf 1.9 Millionen Bibliotheken verteilen, und beinhaltet 7110 Sicherheitslücken.
Das ACM Digital Threats: Research and Practice (DTRAP) Journal wurde 2020 ins Leben gerufen und zielt darauf ab, die Lücke zwischen akademischer Forschung und industrieller Praxis zu schließen. Unsere Arbeit wird in einer Sonderausgabe zum Thema Sicherheitslücken erscheinen.