Avoimen lähdekoodin kirjastot ja tietoturva – ohjelmistokehittäjän opas
Fallström, Sonja (2025)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025052716744
https://urn.fi/URN:NBN:fi:amk-2025052716744
Tiivistelmä
Tämän opinnäytetyön tavoitteena oli selvittää avoimeen lähdekoodin ohjelmistokirjastoihin liittyviä tietoturvariskejä sekä niiden ehkäisyä kehittäjän oman tarkistuksen ja työkalujen avulla. Opinnäytetyössä tarkasteltiin erityisesti npm-pakettien, jotka ovat tietyntyyppisiä ohjelmistokirjastoja, tietoturvaan liittyviä käytäntöjä. Npm-paketteja hyödynnetään esimerkiksi JavaScriptia käyttävissä ohjelmistoprojekteissa. Opinnäytetyössä ei käsitellä muita ohjelmistoprojekteihin liittyviä tietoturvariskejä, eikä tietoturvallisia käytäntöjä muiden ohjelmointikielten, kuten Javan tai Pythonin, avoimen lähdekoodin kirjastoille.
Opinnäytetyön toimeksiantajana oli HUS Tietohallinto. Taustana oli toimeksiantajan tarve tarkentaa kriteereitä avoimen lähdekoodin ohjelmistokirjastojen käytölle. Opinnäytetyön lopputuotoksena valmistui opas avoimen lähdekoodin ohjelmistokirjastojen riskien tunnistamiseen sekä npm-pakettien käyttöön omassa ohjelmistoprojektissa. Valmis opas on kirjoitettu yleisohjeeksi, joten se soveltuu sekä toimeksiantajan ohjelmistokehityksessä mukana oleville työntekijöille että yleisesti ohjelmistokehittäjien käyttöön.
Opinnäytetyön aikana keväällä 2025 kerättiin tietoa yleisesti avoimen lähdekoodin ja ohjelmistokirjastojen hyödyistä ja riskeistä, avoimen lähdekoodin ohjelmistokirjastoihin liittyvistä tietoturvariskeistä sekä tietoturvallisista käytännöistä npm-pakettien käyttöön pakettia valitessa, käyttöönotossa ja omaa ohjelmistoprojektia ylläpitäessä. Tietoa kerättiin ajankohtaisista tietoturvayritysten raporteista, viranomaislähteistä sekä ohjelmistokirjastoihin liittyvistä blogikirjoituksista. Tämän lisäksi haastateltiin vapaamuotoisesti muutamia toimeksiantajan työntekijöitä ohjelmistokirjastojen käytöstä.
Opinnäytetyössä tutkittiin kahta komentorivityökalua npm-pakettien tunnettujen haavoittuvuuksien tunnistamiseen, jotka olivat npm audit ja NPQ. Työkalujen ominaisuuksia testattiin asentamalla muutamia npm-paketteja ja vertailemalla työkalujen raportteja. Testauksen tehdyn havainnon perusteella npm audit sopii jo käytössä olevien npm-pakettien hallinnointiin ja NPQ uusien käyttöönotettavien pakettien testaukseen. Molempia työkaluja suositeltiin käytettäväksi lopputuotoksena syntyneessä ohjeessa. Valmiit ohjeet tarjoavat perustietoa ohjelmistokirjastoihin liittyvistä tietoturvauhkista ja niiden ehkäisystä eri keinoin. Ohjeista kerätyn vapaamuotoisen palautteen perusteella ohjeet olivat selkeät ja käytännönläheiset.
Kerätyn tiedon perusteella npm-pakettien käyttöönottamisessa on paljon tarkistettavaa, ja paketteja on lähes mahdotonta tarkistaa pelkästään manuaalisesti. Tämän vuoksi on tarpeellista, että ohjelmistokirjastojen käytön seurannaksi otetaan käyttöön työkaluja, jotka reagoivat kirjastojen käytön eri vaiheissa.
Opinnäytetyön toimeksiantajana oli HUS Tietohallinto. Taustana oli toimeksiantajan tarve tarkentaa kriteereitä avoimen lähdekoodin ohjelmistokirjastojen käytölle. Opinnäytetyön lopputuotoksena valmistui opas avoimen lähdekoodin ohjelmistokirjastojen riskien tunnistamiseen sekä npm-pakettien käyttöön omassa ohjelmistoprojektissa. Valmis opas on kirjoitettu yleisohjeeksi, joten se soveltuu sekä toimeksiantajan ohjelmistokehityksessä mukana oleville työntekijöille että yleisesti ohjelmistokehittäjien käyttöön.
Opinnäytetyön aikana keväällä 2025 kerättiin tietoa yleisesti avoimen lähdekoodin ja ohjelmistokirjastojen hyödyistä ja riskeistä, avoimen lähdekoodin ohjelmistokirjastoihin liittyvistä tietoturvariskeistä sekä tietoturvallisista käytännöistä npm-pakettien käyttöön pakettia valitessa, käyttöönotossa ja omaa ohjelmistoprojektia ylläpitäessä. Tietoa kerättiin ajankohtaisista tietoturvayritysten raporteista, viranomaislähteistä sekä ohjelmistokirjastoihin liittyvistä blogikirjoituksista. Tämän lisäksi haastateltiin vapaamuotoisesti muutamia toimeksiantajan työntekijöitä ohjelmistokirjastojen käytöstä.
Opinnäytetyössä tutkittiin kahta komentorivityökalua npm-pakettien tunnettujen haavoittuvuuksien tunnistamiseen, jotka olivat npm audit ja NPQ. Työkalujen ominaisuuksia testattiin asentamalla muutamia npm-paketteja ja vertailemalla työkalujen raportteja. Testauksen tehdyn havainnon perusteella npm audit sopii jo käytössä olevien npm-pakettien hallinnointiin ja NPQ uusien käyttöönotettavien pakettien testaukseen. Molempia työkaluja suositeltiin käytettäväksi lopputuotoksena syntyneessä ohjeessa. Valmiit ohjeet tarjoavat perustietoa ohjelmistokirjastoihin liittyvistä tietoturvauhkista ja niiden ehkäisystä eri keinoin. Ohjeista kerätyn vapaamuotoisen palautteen perusteella ohjeet olivat selkeät ja käytännönläheiset.
Kerätyn tiedon perusteella npm-pakettien käyttöönottamisessa on paljon tarkistettavaa, ja paketteja on lähes mahdotonta tarkistaa pelkästään manuaalisesti. Tämän vuoksi on tarpeellista, että ohjelmistokirjastojen käytön seurannaksi otetaan käyttöön työkaluja, jotka reagoivat kirjastojen käytön eri vaiheissa.