Université de Rennes Understanding and preventing open-source software supply chain attacks Comprendre et prévenir les attaques à la chaîne d’approvisionnement de logiciels open-source Sécurité Open-sourceAttaques à la chaîne d’approvisionnementDétection des logiciels malveillants Open-Source SecuritySupply Chain AttacksMalware Detection Logiciels libres Mesures de sûreté La modularisation des logiciels est cruciale pour le développement moderne, divisant des systèmes complexes en composants gérables et favorisant la réutilisation. L'open-source est central en fournissant des modules pré-construits, représentant jusqu'à 98\% des bases de code dans les piles technologiques. Cependant, il comporte des risques, l'automatisation et les dépendances complexes le rendent vulnérable aux attaques de la chaîne d'approvisionnement. Cette thèse vise à renforcer la sécurité de l'open-source et à protéger l'intégrité des chaînes d'approvisionnement. Elle explore les attaques de la chaîne d'approvisionnement open-source, propose une taxonomie des attaques et identifie les sauvegardes existantes. Nous détaillons également comment les dépendances tierces parviennent à s'exécuter sur les systèmes en aval et suggérons des méthodes de détection automatisées pour les paquets malveillants au sein des attaques de la chaîne d'approvisionnement open-source. Tout d'abord, nous évaluons une approche basée sur l'apprentissage automatique pour détecter les paquets malveillants en JavaScript et Python. Ensuite, nous évaluons une approche statique pour identifier les paquets malveillants en Java. Software modularization is a key practice in modern software development, dividing complex systems into manageable components and promoting reusability. Open-source is central, providing pre-built modules that boost productivity. It's widely used across tech stacks, forming a significant portion, up to 98%, of codebases. While open-source accelerates development and allows developers to focus on unique problems, it has inherent risks. Automation via package managers and intricate dependencies obscure chains from end-users, who implicitly trust each element, making open-source susceptible to supply chain attacks. The goal of this thesis is to enhance security and safeguard the integrity of open-source software supply chains. We explore open-source supply chain attacks, aiming to understand and prevent them. We propose a comprehensive, technology-agnostic taxonomy of these attacks and map existing safeguards that mitigate them. We also detail how third-party dependencies gain execution on downstream systems and suggest automated detection methods for malicious packages within open-source supply chain attacks. First, we assess a machine learning-based approach for detecting malicious packages in JavaScript and Python. Then, we evaluate a static approach to identify malicious packages in Java. Electronic Thesis or DissertationText en application/pdf1 : 4267 Kohttps://ged.univ-rennes1.fr/nuxeo/site/esupversions/d08bbdc7-5e7c-42ff-8ca6-9083b3adf953 Ladisa Piergiorgio 1995-07-26 IT 283979240 piergiorgio.ladisa@hotmail.it 2024URENS080 http://www.theses.fr/2024URENS080 2024-04-09 Informatique Université de Rennesthesis.degree.grantor_1 26693823X Doctorat non ouiBaraisOlivierintervenant_1094608946MartinezMatiasintervenant_2183691199PontaSerena Elisaintervenant_325040981XColletPhilippeintervenant_4124592066BaraisOlivierintervenant_1094608946MartinezMatiasintervenant_2183691199BaudryBenoitintervenant_5073554081JohnsMartinintervenant_6258929820WilliamsLaurieintervenant_7028308646 MATISSEecoleDoctorale_1 267602553 IRISA partenaireRecherche_1 026386909 ddc:004 BaraisOlivierMartinezMatiasPontaSerena ElisaColletPhilippeBaudryBenoitJohnsMartinWilliamsLaurieUniversité de RennesMATISSE IRISA ASCII PDF 4369578