Security Guidelines for the Usage of Open Source Software

Domar Bolmstam, Sebastian, Hanifi, Siavash

January 2020

Open-source software is in average used in more than 65% of the applications within the domains of enterprise software, retail and e-commerce, cybersecurity and internet of things (Synopsys, 2019). With the frequent use of open-source software, security issues arise which need to be handled. These include among other issues; non-patched vulnerabilities and malicious code (Schryen, 2011). Security guidelines for open-source software usage have been defined by numerous security organizations as an effort to increase effective security handling of open source software within organizations. These guidelines often cover directives on many layers of an organization and are often lacking information necessary for them to be understandable, reliable, and useful to the person using them.The purpose of this study is to contribute to increased software security related to open-source software usage, by exploring and providing information on the topic, and by defining a set of improved security guidelines that cover both what measures to take to minimize security risks, and how to implement it, based on the published state-of-the-art security guidelines for using open-source software.The subject was investigated through a research process focused on answering whether the current state-of-the-art security guidelines could be improved, using a qualitative research type based on a document analysis data collection method. The research was exploratory in its design and the main focus was to explore the subject by trying to answer the posed research question.By investigating the state of contemporary security guidelines found in literature, and evaluating them against a set of desirable attributes for high quality guidelines, it became evident that the contemporary guidelines couldbe improved. An effort was therefore made to build on the found guidelines and improve them by trying to resolve the issues found through the evaluation.The effort of trying to improve existing guidelines resulted in a new set of guidelines including added information and reformulations, however, the changes made could not be said to be conclusive or objective improvements. Instead they present suggestions for how and in what aspects the contemporary guidelines could be improved. / Mjukvara med öppen källkod (open-source software) används i genomsnitti mer än 65% av applikationerna för mjukvara till företag, detaljoch e-imageimageimageimagehandel, cybersäkerhet och sakernas internet (Synopsys, 2019). Den frekventa användningen av öppen källkod ger upphov till säkerhetsrisker som behöver motverkas. Dessa risker inkluderar bland annat; skadlig kod och säkerhetsbrister som inte åtgärdas (Schryen, 2011). Säkerhetsriktlinjer har blivit definierade av ett flertal organisationer med målet att effektivisera säkerhetshanteringen av öppen källkod och på så sätt minska risken för attacker. Dessa riktlinjer täcker ofta många olika delar av en organisations hierarki och saknar ofta information som är nödvändig för att göra dem begripliga, pålitliga och användbara för de personer som använder dem. Syftet med denna studieär att bidra till enökad säkerhet vid användan-det av öppen källkod genom att dels öka kunskapen om ämnet, och genom att definiera en samling förbättrade säkerhetsriktlinjer som både beskriver vad som ska göras för att minska säkerhetsrisker och hur det ska göras. De förbättrade riktlinjerna ska baseras på befintliga säkerhetsriktlinjer för användning av öppen källkod. Ämnet studerades genom en forskningsprocess med fokus på att besvara frågan om huruvida befintliga säkerhetsriktlinjer kan förbättras, där information samlades in genom en kvalitativ forskningstyp baserad på dokumentanalys. Forskningsdesignen var av utforskande karaktär, där huvudfokuset låg i att utforska ämnet genom att försöka besvara forskningsfrågan.Genom att undersöka kvalitén av befintliga säkerhetsriktlinjer som hittats i litteraturen och utvärdera dessa med stöd av en stor samling önskvärda egenskaper hos riktlinjer av hög kvalitet, blev det uppenbart att befintliga riktlinjer kan förbättras. Däför genomfördes ett försök att vidareutveckla befintliga riktlinjer för att förbättra dem genom att lösa de problem som hittats genom utvärderingen. Försöket att förbättra existerande riktlinjer resulterade i en ny uppsättning riktlinjer med tillagd information och omformuleringar. Dessa förändringar kan dock inte sägas representera konklusiva eller objectiva förbättringar. Istället representerar de förbättrade riktlinjerna ett förslag på hur riktlinjer skulle kunna förbättras.

Open Source (OS)

Open Source Software (OSS)

Security Guideline (SG)

Open Source Software Security

Öppen Källkod

Mjukvara med Öppen Källkod

Säkerhetsriktlinje

Säkerhet för Öppen Källkod

Computer and Information Sciences

Data- och informationsvetenskap