Valutazione di Metriche per il Rilevamento di Attacchi al Codice Sorgente

Abstract

La mia tesi affronta una nuova tipologia di attacchi al codice sorgente, i Blank Space Trojan (BST) e gli Hidden Unicode Trojan (HUT), che sfruttano la percezione umana e le interfacce di code review per inserire codice malevolo in modo impercettibile dai revisori. Ho rilevato l'inefficacia delle metriche e degli strumenti SAST generici contro queste minacce. Per contrastarli, ho sviluppato e validato nuove metriche specifiche ed applicato un nuovo approccio, basato sull'analisi evoluzionistica delle modifiche del codice nei repository Git, individuando anomalie nelle variazioni di queste metriche. Ho anche realizzato uno strumento, "BST_HUT_analyzer", per automatizzare questa analisi e ho creato un dataset di test, data la mancanza di risorse pubbliche. Il mio lavoro propone un metodo innovativo per rilevare attacchi che sfuggono ai controlli tradizionali, aumentando la sicurezza della Software Supply Chain.

My thesis addresses a new type of attack on source code, namely Blank Space Trojans (BSTs) and Hidden Unicode Trojans (HUTs), which exploit human perception and code review interfaces to inject malicious code imperceptibly to reviewers. I found that generic metrics and SAST tools are ineffective against these threats. To counter them, I developed and validated new, specific metrics and applied a novel approach based on the evolutionary analysis of code changes in Git repositories, identifying anomalies in the variations of these metrics. I also created a tool, "BST_HUT_analyzer", to automate this analysis, and developed a test dataset due to the lack of public resources. My work proposes an innovative method for detecting attacks that evade traditional controls, thereby enhancing Software Supply Chain security.