THE TECHNOLOGY OF DETECTION INFORMATION ABOUT VULNERABILITY IN THIRD-PARTY OPEN SOURCE SOFTWARE
В статье приведены результаты разработки технологии выявления сведений об уязвимостях сторонних компонентов программного обеспечения (ПО), позволяющей своевременно обнаруживать проблемы безопасности, связанные с использованием заимствованных компонентов с открытым исходным кодом. Технология отличается процедурами оперативного обнаружения, ранжирования и подтверждения достоверности первоисточников сообщений о таких проблемах. Разработанная технология основана на проведении сбора и семантического анализа сведений об ошибках и средствах (алгоритмах) эксплуатации уязвимостей ПО, содержащихся в сообщениях, публикуемых на информационных ресурсах разработчиков ПО с открытым исходным кодом. Технология включает процедуру подтверждения сведений о наиболее опасных уязвимостях с последующей оценкой рисков для подтверждённых уязвимостей. В статье также приводятся результаты реализации предлагаемой технологии в виде средства сбора и интерактивного анализа сообщений о ошибках в ПО с открытым исходным кодом, размещаемым на платформах для совместной разработки GitHub и GitLab. Технология выявления сведений об уязвимостях сторонних компонентов позволяет повысить защищённость ПО, использующего в своём составе общедоступные компоненты с открытым исходным кодом. The article presents the results of the development the technology of detection information about vulnerability in third-party open source software, which allows timely detection of security problems associated with the use of borrowed components provided with open source code. The technology is characterized by procedures for rapid detection, ranking, and confirmation of the authenticity sources of primary reports about such problems. The technology is based on collecting and mining information about bugs, vulnerabilities and exploits contained in messages that published in sources of open source software developers. The technology includes a procedure for confirming information about the most dangerous vulnerabilities, followed by a risk assessment for confirmed vulnerabilities. The article also presents the results of implementing the proposed technology as a tool for collecting and interactively analyzing bug messages in open source software hosted on the GitHub and GitLab collaborative version control platforms. The technology for detecting information about vulnerabilities of third-party components allows you to increase the security of software that uses publicly available open source components.