Details

Цель дипломной работы — повышение безопасности wasm-приложений. Объектом исследования являются WASM-приложения и их рантаймы. Задачи, решаемые в ходе исследования: - провести анализ безопасности архитектуры WebAssembly и сред выполнения Wasmtime и WasmEdge. - систематизировать уязвимости WASM-приложений, сформированных из Docker-контейнеров и при прямой сборке. - разработать программный прототип формирования уязвимых WASM-приложений для поиска небезопасных конфигураций. - реализовать экспертную систему, позволяющую оценить безопасность конфигурации WASM-приложений. В работе был выполнен анализ уязвимостей, а также сопоставление с CVE-базой. Проанализировано влияние утилиты `container2wasm` на атакующую поверхность при переходе от контейнеров к WebAssembly. Разработаны два программных инструмента — генератор уязвимых модулей и экспертная система оценки конфигураций. Полученные результаты могут применяться при создании безопасных cloud-native решений, инструментария для CI/CD, а также при разработке практик безопасного развёртывания WASM-приложений. Для достижения поставленных целей в процессе работы использовались среды выполнения Wasmtime и WasmEdge, а также утилита container2wasm для преобразования Docker-образов в WebAssembly-модули. Тестирование поведения модулей и уязвимостей проводилось в локальном окружении с использованием Docker.

The goal of the thesis is to improve the security of WASM applications. The object of the study is WASM applications and their runtimes. The tasks solved during the study: - conduct a security analysis of the WebAssembly architecture and the Wasmtime and WasmEdge runtimes. - systematize the vulnerabilities of WASM applications formed from Docker containers and during direct assembly. - develop a software prototype for the formation of vulnerable WASM applications to search for unsafe configurations. - implement an expert system that allows you to assess the security of the WASM application configuration. The work included an analysis of vulnerabilities, as well as a comparison with the CVE database. The impact of the `container2wasm` utility on the attack surface when switching from containers to WebAssembly was analyzed. Two software tools were developed - a vulnerable module generator and an expert system for assessing configurations. The results obtained can be used to create secure cloud-native solutions, CI/CD tools, as well as to develop practices for the secure deployment of WASM applications. To achieve the goals set, the Wasmtime and WasmEdge runtimes were used in the process, as well as the container2wasm utility for converting Docker images to WebAssembly modules. Testing of module behavior and vulnerabilities was carried out in a local environment using Docker.