Reto Matchmaking

Inscribirme

Desarrollo de herramienta web para almacenar componentes de terceros y monitorizar vulnerabilidades públicas

Objetivo del proyecto

Para este proyecto se propone el desarrollo de una aplicación web que facilite al evaluador el análisis de las librerías de terceros que usa un producto evaluado. La herramienta actual está desarrollada en python y la lógica implementada se considera funcional por lo que se podría reaprovechar si se considera viable.


En general, los requisitos que se piden para este proyecto son:


- Obtención y posterior análisis de las librerías a partir de un archivo ZIP o similar que contenga los archivos que son instalados con el producto evaluado.

- Análisis de las librerías a partir de un listado ya proporcionado (por ejemplo, por el fabricante en la declaración de seguridad).

- Asignación automática/semi-automática de identificadores CPEs para las librerías identificadas. Este punto es crítico para el funcionamiento global de la herramienta, asociar identificadores precisos es lo que permite después seleccionar los CVEs correctos.

- Composición de una cache o base de datos que permite reutilizar la asignación de CPEs a un librería.

- Obtención de los CVEs asociados a cada librería filtrando por el CPE asignado y su versión.

- Agrupar de forma automática los CVEs encontrados en caso de que, por ejemplo, afecte a varias de las librerías usadas por el producto.

- Una vez llevado a cabo la obtención de los CVEs, permitir al usuario realizar una análisis de los CVEs encontrados para que determine si son aplicables a su producto o no.

- Inventariar el listado de librerías de terceros asociadas a un producto/proyecto con el propósito de hacer análisis automáticos periódicos y notificar si hay algún CVE nuevo para esa librería.

Punto de partida

El laboratorio dispone de una herramienta para llevar a cabo el análisis semi automático de un listado de librerías de terceros y los CVEs que afectan a dichas librerías. Actualmente dicha herramienta se compone de una serie de scripts que proporcionan una interfaz poco flexible a través de la terminal.

Entregable final

Código fuente de la aplicación y memoria

Información de interés

SPDX, CPE, CVE, ...

Inscribirme
JTSEC BEYOND IT SECURITY SLU

JTSEC BEYOND IT SECURITY SLU

Ver perfil de la empresa
III Sesión Matchmaking (Talento - Empresas)
Seguridad Cibernética
Prácticas

Vacantes

1 personas

Duración

12 semanas

Condiciones económicas

300 € / mes

Perfiles

  • Estudiante de Master

¿Te podemos ayudar?

Política de privacidadPolítica de cookiesAviso legal
info@aigranada.com 605 793 970
Instagram Twitter Linkedin Facebook YouTube
InicioAI GranadaMatchmakingsNoticiasContacto
2024© AIGranada