On the Security Risks of Open Source Consumption - Vulnerabilities and Supply-Chain Attacks in the Era of Open-Source-Based Software Development

Type de soutenance
Thèse
Date de début
Date de fin
Salle
salle Petri-Turing
Orateur
Henrik PLATE
Département principal
Départements supplémentaires
Sujet
  • The consumption of open source software (OSS) components during application development comes with security risks, both for development organizations and application end-users. This has been demonstrated numerous times in the last decade, starting from the Heartbleed vulnerability in OpenSSL (2014) to the recent supply chain attack on XZ Utils (2024). This thesis tackles two relevant problems in the area of OSS-based software development: the consumption of components with known vulnerabilities, and the consumption of malicious packages. The first problem is addressed through the development of a code-centric approach to detecting, evaluating and updating known-vulnerable open source dependencies. The second problem is addressed by providing a systematic description of OSS-specific attack vectors, a review of malicious packages used in real-world attacks, and an exploration of attack techniques specific to the Java ecosystem.
**ATTENTION dans le cadre du plan VIGIPIRATE : l’accès du public à cette soutenance est contraint à une inscription préalable obligatoire auprès de Sophie Maupilé (sophie [*] maupileatinria [*] fr
L’accès ne sera pas autorisé sans inscription préalable. Par ailleurs, les visiteurs ne porteront ni bagage ni sac.**
 
 
Composition du jury
Président :
- Sandrine BLAZY Professeur titulaire à l’Université de Rennes
Examinateurs :
- Laurie WILLIAMS Professeur titulaire à l’Université de Caroline du Nord
- Benoit BAUDRY Professeur titulaire à l’Université de Montréal
- Johannes KINDER Professeur titulaire à l’Université Ludwig-Maximilians de Munich
Directeur de thèse :
- Jean-Marc JÉZÉQUEL Professeur titulaire à l’Université de Rennes