The Human Factor in OSS Security : risks and mitigation strategies
Väyrynen, Velimatti (2025)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025052315428
https://urn.fi/URN:NBN:fi:amk-2025052315428
Tiivistelmä
The purpose of this thesis was to investigate the impact of human factors on the security and resilience of open-source software (OSS). Recent events, such as the attack on the XZ Utils library, have shown how attackers can exploit the trust-based ecosystem of OSS. Since OSS components are key building blocks in most commercial software, any vulnerabilities could have serious consequences for critical infrastructure.
This thesis evaluated how OSS security problems can be prevented by risk management strategies and administrative support measures. The work specifically examines how human factors, such as maintainer burnout, OSS governance structures, gaps in knowledge sharing, and vulnerability to social engineering. The analysis focused on security standards, NIST SP 800-161r1 and ISO/IEC 27001:2023, and their applicability to the challenges of the OSS ecosystem. Case studies analyzed included the installation of a backdoor in the XZ Utils library and the hijacking attempts against OpenJS Foundation projects. The results suggested that OSS security vulnerabilities largely stem from systemic vulnerabilities compounded by insufficient funding. This thesis proposes strategies to mitigate these human factor vulnerabilities in OSS development. Tässä opinnäytetyössä tutkittiin inhimillisten tekijöiden vaikutusta avoimen lähdekoodin ohjelmistojen (OSS) turvallisuuteen ja kestävyyteen. Viimeaikaiset tapahtumat, kuten XZ Utils -kirjastoon kohdistunut hyökkäys, ovat osoittaneet, kuinka hyökkääjät voivat hyödyntää OSS-ekosysteemin luottamuspohjaisia rakenteita. Koska OSS-komponentit muodostavat keskeisen osan useimmissa kaupallisissa ohjelmistoissa, niiden haavoittuvuudet voivat uhata kriittistä infrastruktuuria.
Työssä analysoitiin, miten OSS-tietoturvariskejä voidaan hallita riskienhallinnalla ja hallinnollisilla toimilla. Tarkastelun kohteena olivat inhimilliset heikkoudet, kuten ylläpitäjien uupumus, puutteelliset hallintorakenteet, tiedon jakamisen ongelmat sekä altistuminen sosiaaliselle manipuloinnille. Analyysissa keskityttiin turvallisuusstandardeihin NIST SP 800- 161r1 ja ISO/IEC 27001:2023 sekä niiden soveltuvuuteen avoimen lähdekoodin ohjelmistoekosysteemin haasteisiin. Tapaustutkimuksina analysoitiin XZ Utils - kirjaston hyökkäystä ja OpenJS Foundationin kaappausyritystä. Tulokset osoittivat, että OSS-projektien haavoittuvuudet johtuvat ensisijaisesti järjestelmällisistä ongelmista, kuten riittämättömästä tuesta. Työssä esitetään menetelmiä näiden haasteiden lieventämiseksi.
This thesis evaluated how OSS security problems can be prevented by risk management strategies and administrative support measures. The work specifically examines how human factors, such as maintainer burnout, OSS governance structures, gaps in knowledge sharing, and vulnerability to social engineering. The analysis focused on security standards, NIST SP 800-161r1 and ISO/IEC 27001:2023, and their applicability to the challenges of the OSS ecosystem. Case studies analyzed included the installation of a backdoor in the XZ Utils library and the hijacking attempts against OpenJS Foundation projects. The results suggested that OSS security vulnerabilities largely stem from systemic vulnerabilities compounded by insufficient funding. This thesis proposes strategies to mitigate these human factor vulnerabilities in OSS development.
Työssä analysoitiin, miten OSS-tietoturvariskejä voidaan hallita riskienhallinnalla ja hallinnollisilla toimilla. Tarkastelun kohteena olivat inhimilliset heikkoudet, kuten ylläpitäjien uupumus, puutteelliset hallintorakenteet, tiedon jakamisen ongelmat sekä altistuminen sosiaaliselle manipuloinnille. Analyysissa keskityttiin turvallisuusstandardeihin NIST SP 800- 161r1 ja ISO/IEC 27001:2023 sekä niiden soveltuvuuteen avoimen lähdekoodin ohjelmistoekosysteemin haasteisiin. Tapaustutkimuksina analysoitiin XZ Utils - kirjaston hyökkäystä ja OpenJS Foundationin kaappausyritystä. Tulokset osoittivat, että OSS-projektien haavoittuvuudet johtuvat ensisijaisesti järjestelmällisistä ongelmista, kuten riittämättömästä tuesta. Työssä esitetään menetelmiä näiden haasteiden lieventämiseksi.