Details

Целью работы является разработка способа определения достижимости уязвимых компонентов, позволяющего улучшить качество и точность результатов композиционного анализа. Задачи, решаемые в ходе исследования: 1. Проанализировать задачи композиционного анализа программного обеспечения и основные используемые подходы. 2. Провести сравнительный анализ программных средств композиционного анализа и применяемых в них методов выявления уязвимостей. 3. Разработать способ определения достижимости уязвимых фрагментов исходного кода. 4. Реализовать программное средство для композиционного анализа и анализа достижимости, а также провести его тестирование на реальных проектах. В процессе работы была исследована структура современных SCA-инструментов и их ограничения. В результате предложен способ определения достижимости уязвимых функций, а также реализован инструмент, выполняющий анализ уязвимостей, достижимости и обработку SBOM. Проведено тестирование разработанного решения, подтвердившее его практическую применимость. Для достижения цели было разработано программное средство, использующее SBOM в формате CycloneDX, Docker, VDB, а также методы определения достижимости уязвимых компонентов.

The purpose of the study is to develop an approach for determining the reachability of vulnerable components, aimed at improving the quality and accuracy of software composition analysis results. The research set the following goals: 1. Analyze the objectives of software composition analysis and the main approaches used. 2. Conduct a comparative analysis of software composition analysis tools and the methods they use to identify vulnerabilities. 3. Develop a method for determining the reachability of vulnerable code fragments based on call graph analysis. 4. Implement a software tool for composition analysis and reachability analysis, and evaluate it on real-world projects. During the study, the structure and limitations of modern SCA tools were examined. As a result, a method for identifying the reachability of vulnerable functions was proposed, and a tool was implemented that performs vulnerability analysis, reachability analysis, and SBOM processing. The developed solution was tested and demonstrated practical applicability. To achieve the goal, a software tool was developed using CycloneDX SBOM format, Docker, a Vulnerability Database (VDB), and methods for determining the reachability of vulnerable components based on call graph analysis.