HATCH: Hantering av sårbarheter i värdekedjan
| Diarienummer | |
| Koordinator | Lunds universitet - Institutionen för datavetenskap |
| Bidrag från Vinnova | 4 000 000 kronor |
| Projektets löptid | november 2018 - november 2021 |
| Status | Avslutat |
| Utlysning | Digital säkerhet och tillförlitlighet |
Syfte och mål
Projektet visar att det går att erbjuda stöd för de som utvecklar komponenter och de som integrerar system när det gäller att kommunicera om sårbarheter i öppen källkod. Från utvecklingen och testanvändning av system har vi fått förståelse om vilka funktioner som måste stödjas i stödverktyg för detta. Från integratörens synvinkel måste t ex system och sårbarheter delas upp och sorteras eftersom det rör sig om så många sårbarheter, men bara ett fåtal är relevanta. Utvecklande organisationer måste t ex ha möjlighet att kommentera sårbarheter både för internt bruk och för externt bruk.
Resultat och förväntade effekter
En första version av ett verktyg för att underlätta kommunikation om sårbarheter i öppen källkod mellan produktutvecklare och systemintegratörer har utvecklats. Baserat på de undersökningar som gjorts under projektet tror vi att denna typ av kommunikation kan förbättra arbetet med sårbarheter för flera olika sorters system. Intresset för sårbarheter är fortfarande stort och många företag arbetar med rutiner för att analysera och åtgärda denna typ av problem, inte minst i komponenter med öppen källkod.
Upplägg och genomförande
Projektet har drivits som ett samarbete mellan forskare, produktutvecklare, systemintegratörer och verktygsutvecklare. Litteraturstudier och fallstudier med målet att ge förståelse om hur arbete med sårbarheter bedrivs i industrin har kombinerats med utvecklande av ett system för kommunikation om sårbarheter mellan utvecklare och integratörer. Tidiga versioner av det utvecklade verktyget har provats med målet att utreda detaljer om vilken information som ska kommuniceras och hur den ska filtreras.