Ohjelmistohaavoittuvuudet tutkimuksissa ja käytännössä

Abstract

Tässä kandidaatintyössä verrataan NVD-tietokannassa hyväksikäytetyiksi kirjattujen ohjelmistohaavoittuvuuksien kategorioita niihin kohdistetun tieteellisen tutkimuksen määrään. Työssä tehdään systemaattinen kirjallisuuskatsaus vertaisarvioiduista tieteellisistä teoksista sekä tilastollinen analyysi vapaasti saatavilla olevasta haavoittuvuusdatasta. Työn tavoitteena on selvittää, tutkitaanko tieteellisessä kirjallisuudessa samoja ohjelmistohaavoittuvuuskategorioita, joita todellisuudessa tapahtuu.

Työn tuloksena havaittiin, että ohjelmistohaavoittuvuuksien tutkimuksessa keskitytään pääasiassa samassa suhteessa samoihin haavoittuvuustyyppeihin kuin mitä havaitaan oikeassa maailmassa vuosina 2018 - 2022. Muistinkäsittelyn virheet ja injektiot olivat kaksi suurinta haavoittuvuuskategoriaa molemmissa lähteissä. Tarkastelluissa tutkimuksissa syötön validointi oli aliedustettu haavoittuvuuskategoria ja toiminnonkulun virheet oli puolestaan yliedustettu kategoria verrattuna samana aikana tapahtuneisiin todellisiin haavoittuvuuksiin.

This bachelor's thesis compares the distribution of scientific research on software vulnerability categories with the distribution of vulnerabilities in the NVD database that have been reported as having been exploited in a data breach. The thesis consists of a systematic literature review on peer-reviewed scientific articles and a statistical analysis of freely available software vulnerability data.

It was found that the types of software vulnerabilities examined in scientific articles are similar to the types of exploited vulnerabilities during the years 2018-2022. Memory errors and injections were the two largest vulnerability categories in both cases. In scientific articles input validation was found to be underrepresented and control-flow errors were found to be overrepresented.