Fria och öppna programvaror inom kommunal verksamhet : Vägen mot öppna standarder? / Free- and open source software in municipalities : The way towards open standards?

Hanson, Malin, Larsson, Mikael

January 2009

This report deals with the attitudes within municipalities of open source software and open standards and if open source software may be an option to gain open standards. The aim has been to find out if open source software and open standards would be able to solve the lock-in problems that municipalities have against proprietary software. The study is conducted as an exploratory, inductive and qualitative study with depth interviews of subjectively selected informants as data collection method. A literature review has also been implemented by the relevant books and articles. Some economic determinants of municipalities to make use of open source software have not been considered in this study. The informants used in this study are all IT managers in a Swedish municipality and our key informants have been selected in a subjective manner based on the expertise they have in the subject. The conclusions drawn were that municipalities have been difficult to define standards and open standards, and that they do not automatically see the connection between open standards and open software. They also see different areas of interest for standardization. / Denna rapport tar upp kommuners inställning till öppna program och öppna standarder och om öppen programvara kan vara ett alternativ för att få öppna standarder. Syftet har varit att ta reda på om öppna program och öppna standarder skulle kunna lösa de problem som kommuner har med inlåsningar mot proprietär programvara. Studien är genomförd som en explorativ, induktiv och kvalitativ studie med djupintervju av subjektivt utvalda informanter som datainsamlingsmetod. En litteraturgranskning har också genomförts av relevanta böcker och artiklar. Några ekonomiska faktorer för kommuner att använda sig av öppen programvara har inte beaktats i denna studie. De informanter som använts i denna studie är alla ITchefer inom någon svensk kommun och nyckelinformanterna har valts ut på ett subjektivt sätt utifrån den expertkunskap de besitter inom ämnet. Slutsatserna som drogs var att kommuner har svårt att definiera standarder och öppna standarder, och att de inte med automatik ser kopplingen mellan öppna standarder och öppen programvara. De ser också olika områden som intressanta för en standardisering.

Standard

open standard

open Software

open Source

lock-in problems

Standard

öppen standard

öppen programvara

öppen källkod

inlåsningsproblem

Security of Embedded Software : An Analysis of Embedded Software Vulnerabilities and Related Security Solutions

Gaboriau-Couanau, Clément

January 2017

The increased use of computer systems for storing private data or doing critical operations leads to some security issues gathered in the area cybersecurity. This neologism leads people to think about the security of information systems and general-purpose computers. However, with the growth of the Internet of Things, embedded systems are also concerned with these issues. The speed of development of this area often leads to a backwardness in the security features. The thesis investigates the security of embedded systems by focusing on embedded software. After classifying the vulnerabilities which could be encountered in this field, a first part of this work introduces the realisation of a document gathering guidelines related to secure development of embedded software. This realisation is based on an analysis of the literature review, but also on the knowledge of engineers of the company. These guidelines are applied to the project of a client. The result of their application allows us to prove their consistency and to write a set of recommendations to enhance the security of the project. The thesis presents the implementation of some of them. Particularly, it introduces a way to secure an Inter-Process Communication (IPC) mean: D-Bus, through a proof of concept. The result shows that the security policy of D-Bus is efficient against some attacks. Nevertheless, it also points out that some att acks remain feasible. The solution is implemented on an embedded board to analyse the computational overhead related to this embedded aspect. As expected, a more complex and detailed a policy is, the higher the overhead tends to be. Nevertheless, this computational overhead is proportional to the number of rules of the policy. / Den ökade användningen av datorsystem för att lagra privata data eller göra kritiska operationer leder till vissa säkerhetsproblem som samlas i området cybersäkerhet. Denna neologism leder människor att tänka på säkerhetssystemen för informationssystem och allmänt tillgängliga datorer. Men med tillväxten av saker i saken är inbyggda system också berörda av dessa frågor. Utvecklingshastigheten för detta område leder ofta till en underutveckling säkerhetsfunktionerna.Avhandlingen undersöker säkerheten för inbyggda system genom att fokusera på inbyggd programvara. Efter att ha klassificerat de sårbarheter som kan uppstå i det här fältet introducerar en första del av det här arbetet realisationen av ett dokument av riktlinjer om säker utveckling av inbyggd programvara. Denna insikt bygger på en analys av litteraturgranskningen, men också på kunskap om ingenjörer i företaget. Dessa riktlinjer tillämpas på en kunds projekt.Resultatet av deras ansökan gör det möjligt för oss att bevisa deras konsistens och att skriva rekommendationer för att förbättra projektets säkerhet. Avhandlingen presenterar genomförandet av några av dem. Ett sätt införs särskilt patt säkra en interprocesskommunikation (IPC) menande: DBus, genom ett konceptbevis. Resultatet visar att D-Busens säkerhetspolitik är effektiv mot vissa attacker. Det påpekar emellertid också att vissa attacker fortfarande är möjliga. Lösningen implementeras på ett inbyggd kort för att analysera beräkningsoverhead som är relaterad till denna inbyggda aspekt. Som förväntat är en mer komplex och detaljerad politik, desto högr e överhuvudtaget tenderar att vara. Ändå är denna beräkningskostnad proportionell mot antalet av regler av säkerhetspolitiken.

Embedded Software

Cybersecurity

Guideline

Inter-Process Communication (IPC)

D-Bus

Monitoring

Inbyggd Programvara

Cybersäkerhet

Riktlinje

Interprocesskommunikation (IPC)

D-Bus

Övervakning

Computer Sciences

Datavetenskap (datalogi)

Data Race Detection for Parallel Programs Using a Virtual Platform

Haverås, Daniel

January 2018

Data races are highly destructive bugs found in concurrent programs. Because of unordered thread interleavings, data races can randomly appear and disappear during the debugging process which makes them difficult to find and reproduce. A data race exists when multiple threads or processes concurrently access a shared memory address, with at least one of the accesses being a write. Such a scenario can cause data corruption, memory leaks, crashes, or incorrect execution. It is therefore important that data races are absent from production software. This thesis explores dynamic data race detection in programs running on Ericsson’s System Virtualization Platform (SVP), a SystemC/TLM-2.0-based virtual platform used for running software on simulated hardware. SVP is a bit-accurate simulator of Ericsson Many-Core Architecture (EMCA) hardware, enabling software and hardware to be developed in parallel, as well as providing unique insight into software execution. This latter property of SVP has been utilized to implement SVPracer, a proof-of-concept dynamic data race detector. SVPracer is based on a happens-before algorithm similar to Google’s ThreadSanitizer v2, but is significantly different in implementation as it relies entirely on instrumenting binary code during runtime without requiring code modification during build time. A set of test programs exhibiting various data races were written and compiled for EOS, the operating system (OS) running on EMCA Digital Signal Processors (DSPs). Similar programs were created for Linux using POSIX APIs, to compare SVPracer against ThreadSanitizer v2. Both SVPracer and ThreadSanitizer v2 correctly detect the data races present in the respective test programs. Further work must be done in SVPracer to eliminate some false positive results, caused by missing support for some OS functionality such as semaphores. Still, the present state of SVPracer is sufficient proof that dynamic data race detection is possible using a virtual platform. Future work could involve exploring other data race detection algorithms as well as implementing deadlock/livelock detection in virtual platforms. / Datakapplöpning är en mycket destruktiv typ av bugg i samtidig programvara. På grund av icke-ordnad sammanvävning av trådar kan datakapplöpning slumpmässigt dyka upp och försvinna under avlusning (debugging), vilket gör dem svåra att hitta och återskapa. Datakapplöpning existerar när flera trådar eller processer samtidigt accessar en delad minnesaddress och minst en av accesserna är en skrivning. Ett sådant scenario kan orsaka datakorruption, minnesläckor, krascher eller felaktig exekvering. Det är därför viktigt att datakapplöpning inte finns med i programvara för slutlig release. Det här examensarbetet utforskar dynamisk detektion av datakapplöpning i program som körs på Ericssons System Virtualization Platform (SVP), en SystemC/TLM-2.0baserad virtuell platform som används för att köra program på simulerad hårdvara. SVP är en bit-exakt simulator för hårdvara av typen Ericsson Many-Core Architecture (EMCA), vilket möjliggör parallell utveckling av hårdvara och programvara samt unik inblick i programvaruexekvering. Den senare egenskapen hos SVP har använts för att implementera SVPracer, en konceptvalidering av dynamisk detektion av datakapplöpning. SVPracer baseras på en algoritm av typen happens-before, som liknar den i Googles ThreadSanitizer v2. Stora skillnader finns dock i SVPracers implementation eftersom den instrumenterar binärkod under körning, utan att behöva modifiera koden under kompilering. Ett antal testprogram med olika typer av datakapplöpning skapades för (EOS), ett operativsystem som körs på EMCAs signalprocessorer (DSP). Motsvarande program skrevs för Linux med POSIX-APIer, för att kunna jämföra SVPracer med ThreadSanitizer v2. Både SVPracer och ThreadSanitizer v2 upptäckte datakapplöpningarna i samtliga testprogram. SVPracer kräver vidare arbete för att eliminera några falska positiva resultat orsakade av saknat stöd för vissa OS-funktioner, exempelvis semaforer. Trots det bedöms SVPracers nuvarande prestanda som tillräckligt bevis för att virtuella plattformar kan användas för detektion av datakapplöpning. Framtida arbete skulle kunna involvera utforskning av andra detektionsalgoritmer samt detektion av baklås.

Concurrency

multiprocessing

data race detection

virtual platforms

dynamic analysis

Samtidighet i programvara

multiprocessing

detektion av datakapplöpning

virtuella platformar

dynamisk analys

Elektroteknik och elektronik

Determining whether the Hövding bicycle airbag is secure against cyber attacks / Att avgöra om en Hövding cykel-airbag är skyddad mot cyberangrepp

Mellin, Henrik

January 2022

This thesis is about cyber-security and penetration testing. More specifically it concerns penetration testing of a Hövding bicycle airbag which is a smart alternative to a traditional bicycle helmet. The thesis focuses on exploiting Bluetooth Low Energy, firmware analysis and reverse engineering. The research question is as follows: Is the Hövding bicycle airbag secure against cyber attacks? No previous work has been done with regards to penetration testing the Hövding, despite its popularity. The Hövding’s latest model allows users to connect to their Hövding using a smartphone, with Bluetooth Low Energy as a communication protocol. There is limited research that has been done on exploiting this protocol, which is relatively complex and secure. To answer the research question a number of threats and attacks is identified with the help of the STRIDE model and whose risk is assessed with the DREAD model. These attacks are later executed in a series of penetration tests on the Hövding. The result shows that the Hövding has been securely developed and no vulnerabilities are found. Although no vulnerabilities are found the thesis discusses various approaches that can be useful for further work relating penetration testing similar devices. Regarding further work on the Hövding, there might be some vulnerabilities left to be discovered, perhaps related to hardware hacking or firmware tampering. / I denna avhandling analyseras cybersäkerhet och penetrationstestning. Den behandlar penetrationstestning av Hövdings cykelairbag som är ett uppkopplat alternativ till traditionell cykelhjälm. Fokus är exploatering av Bluetooth Low Energy, analys av fast programvara och baklängeskonstruktion. Frågeställningen lyder: Är Hövdings cykelairbag skyddad mot cyberangrepp? Det finns inga tidigare vetenskapliga arbeten rörande penetrationstestning av Hövdingen, trots dess popularitet. Hövdings senaste modell tillåter användaren att ansluta cykelairbagen till mobil med hjälp av Bluetooth Low Energy-protokollet. Forskning om exploatering av detta protokoll, som är relativt komplext och säkert, är begränsat. För att besvara frågeställningen identifieras hot och attacker med hjälp av STRIDE-modellen vars risk sedan fastställs med DREAD-modellen. Dessa attacker genomförs i en serie penetrationstest på Hövdingen. Resultatet visar att Hövdingen har utvecklats på ett säkert sätt och inga sårbarheter påträffas. Trots att inga sårbarheter påträffas diskuteras olika ansatser som kan vara tillämpliga för framtida penetrationstestning av liknande apparater. Gällande framtida studier av Hövdingen kan det möjligtvis finnas sårbarheter kvar att upptäcka, till exempel inom hårdvaruhackning eller manipulering av fast programvara.

Penetrationtesting

Internet of Things

Threatmodeling

BluetoothLowEnergy

Firmware analysis

Reverse engineering

Penetrationstestning

Sakernasinternet

Hotmodellering

BluetoothLowEnergy

Analys of fast programvara

Baklängeskonstruktion

Computer Sciences

Datavetenskap (datalogi)

Detecting Security Patches in Java OSS Projects Using NLP

Stefanoni, Andrea

January 2022

The use of Open Source Software is becoming more and more popular, but it comes with the risk of importing vulnerabilities in private codebases. Security patches, providing fixes to detected vulnerabilities, are vital in protecting against cyber attacks, therefore being able to apply all the security patches as soon as they are released is key. Even though there is a public database for vulnerability fixes the majority of them remain undisclosed to the public, therefore we propose a Machine Learning algorithm using NLP to detect security patches in Java Open Source Software. To train the model we preprocessed and extract patches from the commits present in two databases provided by Debricked and a public one released by Ponta et al. [57]. Two experiments were conducted, one performing binary classification and the other trying to have higher granularity classifying the macro-type of vulnerability. The proposed models leverage the structure of the input to have a better patch representation and they are based on RNNs, Transformers and CodeBERT [22], with the best performing model being the Transformer that surprisingly outperformed CodeBERT. The results show that it is possible to classify security patches but using more relevant pre-training techniques or tree-based representation of the code might improve the performance. / Användningen av programvara med öppen källkod blir alltmer populär, men det innebär en risk för att sårbarheter importeras från privata kodbaser. Säkerhetspatchar, som åtgärdar upptäckta sårbarheter, är viktiga för att skydda sig mot cyberattacker, och därför är det viktigt att kunna tillämpa alla säkerhetspatchar så snart de släpps. Även om det finns en offentlig databas för korrigeringar av sårbarheter förblir de flesta hemliga för allmänheten. Vi föreslår därför en maskininlärningsalgoritm som med hjälp av NLP upptäcker säkerhetspatchar i Java Open Source Software. För att träna modellen har vi förbehandlat och extraherat patchar från de commits som finns i två databaser, ena som tillhandahålls av Debricked och en annan offentlig databas som släppts av Ponta et al. [57]. Två experiment genomfördes, varav ett utförde binär klassificering och det andra försökte få en högre granularitet genom att klassificera makro-typen av sårbarheten. De föreslagna modellerna utnyttjar strukturen i indatat för att få en bättre representation av patcharna och de är baserade på RNNs, Transformers och CodeBERT [22], där den bäst presterande modellen var Transformer som överraskande nog överträffade CodeBERT. Resultaten visar att det är möjligt att klassificera säkerhetspatchar, men genom att använda mer relevanta förträningstekniker eller trädbaserade representationer av koden kan prestandan förbättras.

NLP

Deep Learning

vulnerability detection

security patch

Open Source Software

NLP

Deep Learning

sårbarhetsdetektering

säkerhetspatch

programvara med öppen källkod

Computer and Information Sciences

Data- och informationsvetenskap

Prototyping a formal system modeling workbench in the java ecosystem : A Domain Specific Language in Groovy

Savegren, Joakim, Edling, Joar

January 2022

Modeling is a fundamental property in today’s development of embedded systems. Models of computation enable us to describe the functionality and characteristics of a system on a higher abstraction level which gives the designer great insight in the behavior of the final implemented system at a very early stage in the design process. The ForSyDe modeling framework is based on the Model-of-computation (MoC) theory. Synchronous data-flow (SDF) is one MoC that uses actors and tokens to describe the communication and behavior of a system. Currently, the ForSyDe input modeling language exists only as a Haskell implementation and a System C implementation. The main problem is that the ForSyDe tool ecosystem is implemented across different languages without proper connections between tools. However, a framework to make such connections exists, namely the ForSyDe IO Java supporting library. In addition, any language running on the JVM can already be connected to ForSyDe IO. Hence, the thesis explores how a modeling workbench can be designed as a domain specific language (DSL) in the JVM language Groovy using the Gradle environment. Since there are many modules in the ForSyDe modeling framework, one for each MoC, this thesis targets one module: SDF. This choice is enough to explore whether it is possible to achieve the same modeling that Haskell provides in a JVM language, without sacrificing the user experience while modeling. The resulting Groovy DSL can describe the Synchronous Data-Flow MoC with the purpose of modeling SDF graphs, often used in image processing applications. By using the produced DSL workbench, a designer can model SDF applications in an efficient way. There were some differences when comparing the Groovy DSL to the Haskell implementation, such as the methods for defining actors and connecting them. However, the core modeling concepts are the same. Combining Groovy and Gradle offered an easy way of designing a DSL using the concept of closures. The created Groovy DSL is the first member of a family of textual DSL’s for describing MoC’s and therefore acts as a foundation for future work within the ForSyDe modeling framework. It can be extended to support more modules and functions or to inspire others to develop new DSL’s. / Modellering av system är en grundsten i dagens utveckling av inbyggda system. Beräkningsmodeller möjliggör att beskriva systems egenskaper och funktioner på en hög abstraktionsnivå vilket underlättar den första tiden vid utvecklingen av ett nytt inbyggt system. ForSyDe är ett modelleringsspråk baserat på beräkbarhetsteori. Det synkrona dataflödet (SDF) är en beräkningsmodell som använder sig av aktörer och tokens för att beskriva ett systems kommunikation och bettend. ForSyDe är implementerat i programmeringsspråket Haskell och System C, men är i fortsatt utveckling och grenar ut till andra språk och miljöer. Det huvudsakliga Problemet med ForSyDe är att ramverket saknar bra kopplingar mellan verktygen som erbjuds. Ett ramverk som möjliggör kopplingen mellan verktygen är stöd biblioteket ForSyDe IO och dessutom kan ett språk som kör i Javas virtuella miljö redan kopplas med ForSyDe IO. Därför undersöker uppsatsen hur ett domänspecifikt språk kan skrivas i Groovy i utvecklingsmiljön gradle för att direkt extrahera en ForSyDe IO modell utan att behöva undersöka varje element i modellen. Det finns många moduler i ForSyDe ramverket, en för varje beräkningsmodell och därför menar uppsatsen att undersöka en modul: SDF. Att undersöka SDF modulen anses tillräckligt för att bestämma sig huruvida det är möjligt att uppnå liknande modellering som Haskell erbjuder fast i java miljön, utan att offra användarvänligheten då ett system modelleras. Resultatet blev en Groovy prototyp som kan beskriva SDF-modulen med syftet att modellera SDF-grafer vars funktion ofta används inom bildbehandling. En SDF-graf beskriver ett systems dataflöde och via det resulterande domänspecifika språket kan en utvecklare på ett tillfredsställande sätt beskriva dataflöden i javamiljön. Det visade sig att det resulterande domän specifika språket i Groovy skiljer sig en aning från Haskell i hur man specificerar aktörer och deras kopplingar, men det fundamentala konceptet är detsamma. Groovy i kombination med Gradle erbjöd ett smidigt sätt att programmera ett domänspecifikt språk med hjälp av closures vilket kan användas för framtida bruk inom utvecklingsområdet. Den skapade prototypen är den första medlemmen i en familj av framtida modelleringsspråk som beskriver beräkningsmodeller. Resultatet av projektet utgör en grund för ett fortsatt arbete med att bygga vidare på prototypen, men även för att kunna lägga till fler beräkningsmoduler som i sin tur bidrar med utbyggningen av ramverket ForSyDe.

ForSyDe

Models of Computation

Domain Specific Language (DSL)

Data-flow

Embedded Software

Modeling

Programvara för inbyggda system

ForSyDe

Beräkningsmodeller

Domänspecifika språk

Data flöde

Modellering

Computer and Information Sciences

Data- och informationsvetenskap

An Embedded Software Design to Help Asthma Patients Inhale Medication Correctly / En inbäddad programvarudesign för att hjälpa astmapatienter andas in medicin korrekt

Lei, Yuchen

January 2022

Managing the respiratory diseases could be hard for many patients. Usually patients use the inhaler to administrate medicine on a regular basis. Even though the inhaler guideline is well-accepted, most patients make mistakes. In the recent years, smart inhalers with sensors have shown a great potential of guiding the daily use of the inhaler and better understanding the diseases. KTH MedTech startup Andning Med AB specializes on developing smart add-on hardware device to the inhaler. This thesis work is the continuation of the prototyping of the embedded software for the add-on device. The main goal of the thesis work is to develop a robust software for the hardware device to guide the inhaler use in real time, and collect and manage the inhaler data. To approach the problem, I use the Finite-state machine modelling and the object-oriented programming mindset. After the software development and testing, all the designed functionalities are achieved. The user could be visually guided by the device. The inhaler data could be correctly collected and uploaded to the mobile device. The thesis work could serve as a basis for further embedded software development for the device that will end up in the smart inhaler market in the future. It could also give reference to the similar IoT device development. / Att hantera luftvägssjukdomarna kan vara svårt för många patienter. Vanligtvis använder patienter inhalatorn för att administrera medicin regelbundet. Även om inhalatorns riktlinje är väl accepterad gör de flesta patienter misstag. Under de senaste åren har smarta inhalatorer med sensorer visat en stor potential att vägleda den dagliga användningen av inhalatorn och bättre förstå sjukdomarna. KTH MedTech startup Andning Med AB har specialiserat sig på att utveckla smarta tilläggsutrustning till inhalatorn. Detta examensarbete är en fortsättning på prototypframställningen av den inbäddade programvaran för tilläggsenheten. Huvudmålet med examensarbetet är att utveckla en robust mjukvara för hårdvaruenheten för att styra inhalatoranvändningen i realtid, samt samla in och hantera inhalatordata. För att närma mig problemet använder jag Finite-state maskinmodellering och det objektorienterade programmeringstänket. Efter mjukvaruutveckling och testning uppnås alla designade funktioner. Användaren kan visuellt guidas av enheten. Inhalatordata kunde samlas in korrekt och laddas upp till den mobila enheten. Examensarbetet kan fungera som en grund för ytterligare inbäddad mjukvaruutveckling för enheten som kommer att hamna på marknaden för smarta inhalatorer i framtiden. Det kan också hänvisa till liknande utveckling av IoT-enheter.

Embedded software

Smart Inhaler

IoT

Finite state machine

object-oriented programming

Inbäddad programvara

Smart Inhaler

IoT

Finite state machine

objektorienterad programmering

Medical Engineering

Medicinteknik

Environmentally aware vulnerability prioritisation within large networks : A proposed novel method

Lenander, Marcus, Tigerström, Jakob

January 2022

Background. Software vulnerabilities are a constant threat to organisations, businesses, and individuals. Keeping all devices patched from security software vulnerabilities is complex and time-consuming. Companies must use resources efficiently to ensure that the most severe security vulnerability is prioritised first. Today’s state-of-the-art prioritisation method only relies on the severity of the vulnerability without its environmental context. We propose a novel method that automatically prioritises the vulnerabilities in a device based on its environmental information, such as role and criticality. Objectives. This thesis aims to analyse to what extent vulnerabilities can be prioritised based on the environmental information of the device. Furthermore, we investigate the possibility of automatically estimating the role and criticality of a device and to what extent they can more accurately reflect the severity of the vulnerabilities present in the device. Methods. The proposed novel method uses environmental information found by a vulnerability scanner. Based on this information, the method estimates the role of the device. The role is then used by the method to estimate the criticality of the device. Based on the criticality and environmental information, a new vulnerability score is calculated for each vulnerability, and the list is reprioritised based on the latest score. We further apply an experimental study to analyse the assessment of the method against experts' assessment. Results. The experimental study indicates that the method performs slightly better than the state-of-the-art method. The proposed novel method estimated the primary role with an accuracy of 100% and the secondary role with an accuracy of 71.4%. The method's criticality assessment has a moderate agreement with the experts' criticality assessment. Overall, the method's reprioritised vulnerability lists correlate almost perfectly with the experts' vulnerability lists. Conclusions. Considering the environmental information during the prioritisation of vulnerabilities is beneficial. We find that our method performs slightly better than the state-of-the-art method. The proposed method needs further improvements to give a better criticality estimation. However, more research is required to claim that system administrators could benefit from using the proposed method when prioritising vulnerabilities. / Bakgrund. Sårbarheter i programvara är ett konstant hot mot organisationer och företag såväl som till privatpersoner. Att se till att enheterna är säkra är en komplex och tidskrävande uppgift. Det är därför viktigt att prioritera den tiden som finns dit där den gör mest nytta, det vill säga att åtgärda den allvarligaste sårbarheten först. Den allra bästa sårbarheter prioriterings metoden baseras på allvarlighetsgraden utan att ta hänsyn till sårbarhetens miljömetrik. Därav föreslår vi en ny prioriterings metod som automatiskt prioriterar sårbarheterna baserat på en enhets miljömetrik så som roll och kritikalitet. Syfte. Syftet med detta arbetet är att avgöra i vilken utsträckning det går att prioritera sårbarheter baserat på des miljömetrik. Utöver detta ska vi även undersöka huruvida man kan automatiskt uppskatta en enhets roll och kritikalitet för att bättre reflektera sårbarhetens allvarlighetsgrad. Metod. Den föreslagna metoden använder sig av sammanhangs information som tillhandahålls av en sårbarhets scanner. Utifrån denna information kommer enhetens roll att uppskattas. Den estimerade rollen kommer då användas av metoden för att bestämma enhetens kritikalitet. Baserat på kritikaliteten och sammanhangs informationen kommer en ny allvarlighetsgrad beräknas för all sårbarheter.  Listan av sårbarheter kommer omprioriteras med hänsyn till de senast beräknade allvarlighetsgraderna. Ett experiment utförs sedan för att analysera huruvida bra den nya prioriterings metoden är och för att validera resultatet kommer det jämföras mot experters prioritering. Resultat. Den experimentella studien indikerar på att vår metod presterar lite bättre än den den allra bästa sårbarheter prioriterings metoden. Den föreslagna metoden kan uppskatta den primära rollen med en träffsäkerhet på 100% och sekundära rollen med 71.4% träffsäkerhet. Metodens uppskattning av kritikaliteten är måttlig överensstämmande med den av experternas uppskattning. Överlag korrelerar metodens prioritiseringlista bättre med experternas än vad den allra senaste prioritiserings metoden gör. Slutsats. Genom att ta hänsyn till en enhets miljömetrik vid beräkningen av sårbarhetens allvarlighetsgrad får man ett bättre resultat än om den inte skulle varit med i beräkningen. Vi ser att vår metod fungerar bättre över lag än av den allra senaste prioritiserings metoden gör. Den föreslagna metoden behöver forskas mer på för att säkert kunna säga att den är användbar.

Software vulnerability management

vulnerability prioritisation

CVSS

environmental metrics

cyber security

Hantering av sårbarhet i programvara

prioritering av sårbarheter

CVSS

Miljömetrik

cybersäkerhet

Computer Sciences

Datavetenskap (datalogi)

Renewable power generation for developing societies on a remote island in Fiji : A case study / Förnybar kraftproduktion för utvecklingssamhällen på en avlägset belägen ö i Fiji : En fallstudie

Rebhan, Erika, Wahnström, Ellinor

January 2020

Access to electricity is an important factor for rural development as many needs and services such as education, health care and water supply all have energy requirements. The aim of this study was to develop a sustainable electrification system based on renewable energy for the remote village Keteira on Moala Island, Fiji. Keteira does not currently have any reliable electricity supply, but the Fijian Government has set ambitious goals regarding electricity access and the renewable share in the power generation which led to the conclusion that Keteira in the near future will have access to electricity. The daily electricity demand profile for the village has been estimated based on consumption patterns available from other communities in similar living standards. The renewable energy sources available to Moala island have been identified as solar, wind and biomass energy, and the potentials of those sources were calculated based on global data libraries available online. Six different electrification system alternatives were developed, based on the aforementioned energy resources, either as single energy source-based systems or hybrid energy system solutions.These system alternatives were evaluated analytically and optimised for Levelized Cost of Electricity (LCOE) using the software HOMER Pro. The results showed that the optimal LCOE was 0.516 USD/kWh for the hybrid energy system which consisted of biomass, wind, solar and battery storage designed to supply the maximum power demand and daily energy demand in the village. Capital investment cost (CAPEX) was estimated as 480,500 USD for installation of the optimum system. However, it should be taken into account that no field study could be conducted in Keteira due to covid-19 and that the resulting system therefore might not be the most optimal for Keteira’s real conditions. / Tillgång till elektricitet är en viktig faktor för utveckling av landsbygden eftersom många behov och tjänster såsom utbildning, hälsovård och vattenförsörjning har energikrav. Syftet med denna studie var att utveckla ett hållbart elektrifieringssystem baserat på förnybar energi för den avlägset belägna byn Keteira på Moala Island, Fiji. Keteira har för närvarande ingen pålitlig elförsörjning, men den Fijianska regeringen har satt upp ambitiösa mål gällande tillgång till elektricitet och den förnybara andelen i kraftproduktionen vilket ledde till slutsatsen att Keteira kommer att få tillgång till elektricitet inom en snar framtid. Den dagliga elbehovsprofilen för byn har uppskattats baserat på tillgängliga konsumtionsmönster från andra samhällen med liknande levnadsstandard. De förnybara energikällor som finns på ön Moala har identifierats som sol-, vind- och biomassaenergi, där potentialen för dessa källor beräknades baserat på globala databibliotek tillgängliga online. Sex olika elektrifieringssystemsalternativ utvecklades baserat på de tidigare nämnda energiresurserna, antingen som systemlösningar bestående av en energikälla eller som hybrid-energisystemlösningar. Dessa systemalternativ utvärderades analytiskt och optimerades för Levelized Cost of Electricity (LCOE) med hjälp av programvaran HOMER Pro. Resultaten visade att den optimala LCOE var 0,516 USD / kWh för hybridenergisystemet vilket bestod av biomassa, vind, sol och batterilagring utformat för att tillgodose det maximala kraftbehovet och det dagliga energibehovet i byn. Kapitalinvesteringskostnaden (CAPEX) beräknades till 480 500 USD för installation av det optimala systemet. Det bör dock beaktas att ingen fältstudie kunde genomföras i Keteira på grund av covid-19 och att det resulterande systemet därför kanske inte är det mest optimala för Keteiras verkliga förhållanden.

Fiji

Moala Island

Renewable power generation

Remote electrification

HOMER software

Fiji

Moala

Förnybar kraftproduktion

Elektrifiering på avlägsna platser

HOMER-programvara

Energy Systems

Energisystem

Digitaliseringens implementering i svenskundervisningen

Lärka, Marie, Östlin, Marlene

January 2021

Digitala verktyg är ett begrepp som är vida känt men kan betyda olika saker för olikamänniskor. Läroplanens revidering 2017 gällande digitala verktyg ligger till grund fördetta arbete. Syftet med denna undersökning är att ta reda på hur tillgången på digitalaverktyg ser ut, hur begreppet digitala verktyg kan tolkas och huruvida digitaliseringenimplementerats i undervisningen. Genom denna studie hoppas vi kunna bidra till ökadkunskap och förståelse för digitaliseringens betydelse i skolan och de digitala verktygensanvändningsområden. De metoder som använts är tematisk analysmetod för analys avläroplanens kursplan i ämnet svenska och semistrukturerad intervju som genomförts medsex lärare på sex olika skolor fördelade inom och utanför stadskärnan i samma kommun.Resultaten visar att informanternas tolkning av begreppet digitala verktyg såväl är ienlighet med Skolverkets förklaring till begreppet som att tänka endast hård- ellermjukvaror. Dessutom visar resultaten att informanterna redan innan revideringen avläroplanen till viss del implementerat digitala verktyg i undervisningen, men hur mycketär beroende på hur skolans digitaliseringsplan ser ut. Vidare visar resultaten att tillgångentill de digitala verktygen styr hur mycket och i vilket ändamål som informanternaanvänder dem i undervisningen. Utöver det, visar resultaten på att det inte finns någonskillnad i tillgången till digitala verktyg beroende på om skolorna ligger inom eller utomstadskärnan. / Digital tools are a concept that is widely known but can mean different things to differentpeople. The curriculum's revision in 2017 regarding digital tools forms the basis for thiswork. The purpose of this study is to find out what the availability of digital tools lookslike, how the concept of digital tools can be interpreted and whether digitalisation hasbeen implemented in teaching. Through this study, we hope to contribute to increasedknowledge and understanding of the importance of digitalisation in schools and the usesof digital tools. The methods used are thematic analysis method for analysis of theCurriculum syllabus on the subject of Swedish and semi-structured interview conductedwith six teachers at six different schools distributed within and outside the city centre ofthe same municipality. The results show that the informants' interpretation of the conceptof digital fabric is both in accordance with the Swedish National Agency for Education'sexplanation of the concept and that one thinks of only hardware or software. In addition,the results show that even before the revision of the Curriculum, the informants have tosome extent implemented digital tools in teaching, but how much depends on what theschool's digitalisation plan looks like. Furthermore, the results show that access to thedigital tools controls how much and for what purpose the informants use them in teaching.In addition, the results show that there is no difference in access to digital tools dependingon whether schools are within or outside the city centre.

Digital tools

digitalisation

digital skills

hardware

software

multimodality

equivalent education

curriculum

syllabus

Digitala verktyg

digitalisering

digital kompetens

maskinvara

programvara

multimodalitet

likvärdig utbildning

läroplan

kursplan

Educational Sciences

Utbildningsvetenskap

Languages and Literature

Språk och litteratur