1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Роботи студентів
  3. Магістр
  4. 125 — кібербезпека, Кібербезпека та захист інформації
Ezzel az azonosítóval hivatkozhat erre a dokumentumra forrásmegjelölésben vagy hiperhivatkozás esetén: http://elartu.tntu.edu.ua/handle/lib/51856
Title: Дослідження сучасних інструментів моніторингу вразливих npm-пакетів у Node.js-проектах
Other Titles: Research of Modern Tools for Monitoring Vulnerable npm-packages in Node.js projects
Authors: Стебельський, Максим Віталійович
Stebelskyi, Maksym
Affiliation: ТНТУ ім. І. Пулюя, Факультет комп’ютерно-інформаційних систем і програмної інженерії, Кафедра кібербезпеки, м. Тернопіль, Україна
Bibliographic description (Ukraine): Стебельський М. В. Дослідження сучасних інструментів моніторингу вразливих npm-пакетів у Node.js-проектах : кваліфікаційна робота на здобуття освітнього ступеня магістр за спеціальністю „125 — Кібербезпека та захист інформації“ / М. В. Стебельський. — Тернопіль: ТНТУ, 2025. — 59 с.
Issue Date: 3-jan-2026
Submitted date: 23-dec-2025
Date of entry: 28-feb-2026
Country (code): UA
Place of the edition/event: ТНТУ ім. І.Пулюя, ФІС, м. Тернопіль, Україна
Supervisor: Загородна, Наталія Володимирівна
Zagorodna, Nataliya
Committee members: Стадник, Наталія Богданівна
Stadnyk, Nataliya
UDC: 004.56
Keywords: Node.js
npm
доступність
reachability
шкідливе програмне забезпечення
malware
ланцюжок постачання
supply chain
SCA
Abstract: Кваліфікаційна робота присвячена аналізу загроз ланцюжка постачання в екосистемі Node.js та дослідженню ефективності інструментів захисту. Перший розділ закладає теоретичні основи безпеки ланцюжка постачання. У ньому розглядаються архітектура реєстру npm та специфіка управління залежностями, з акцентом на класифікацію векторів атак, таких як атаки з підміною назв пакетів або повна підміна пакетів, що становлять ключові загрози для екосистеми. Другий розділ присвячено порівняльному аналізу сучасних засобів моніторингу. У ньому визначено типові метрики ефективності сканерів, досліджено роботу інструментів сигнатурного контролю, систем аналізу досяжності коду та платформ поведінкового аналізу, виявлено їхні переваги та обмеження. Третій розділ зосереджено на обґрунтуванні комплексного підходу до захисту. У ньому запропоновано схему інтеграції засобів безпеки у CI/CD-конвеєр, описано налаштування політик автоматичного блокування загроз та продемонстровано переваги гібридної моделі, що поєднує статичний та поведінковий аналіз.
The thesis is devoted to analyzing threats to the supply chain in the Node.js ecosystem and researching the effectiveness of protection tools. The first section lays the theoretical foundations of supply chain security. It examines the architecture of the npm registry and the specifics of dependency management, with an emphasis on the classification of attack vectors such as domain spoofing and package tampering, which pose key threats to the ecosystem. The second section is devoted to a comparative analysis of modern monitoring tools. It defines typical metrics for scanner effectiveness, examines the operation of signature control tools, code reachability analysis systems, and behavioral analysis platforms, and identifies their advantages and limitations. The third section focuses on justifying a comprehensive approach to protection. It proposes a scheme for integrating security measures into the CI/CD pipeline, describes how to configure automatic threat blocking policies, and demonstrates the advantages of a hybrid model that combines static and behavioral analysis.
Content: ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ, СИМВОЛІВ, ОДИНИЦЬ, СКОРОЧЕНЬ І ТЕРМІНІВ 8 ВСТУП 9 РОЗДІЛ 1 АНАЛІЗ СТАНУ ПРОБЛЕМИ БЕЗПЕКИ ЛАНЦЮЖКА ПОСТАЧАННЯ В ЕКОСИСТЕМІ NODE.JS 11 1.1 КОНЦЕПЦІЯ МОДУЛЬНОЇ РОЗРОБКИ В СЕРЕДОВИЩІ NODE.JS ТА РОЛЬ NPM 11 1.2 КЛАСИФІКАЦІЯ ЗАГРОЗ БЕЗПЕЦІ ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ 13 1.3 АНАЛІЗ МЕХАНІЗМІВ РЕАЛІЗАЦІЇ СУЧАСНИХ КІБЕРЗАГРОЗ 15 1.4 ОГЛЯД ІСНУЮЧИХ ПІДХОДІВ ДО АНАЛІЗУ СКЛАДУ ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ 18 РОЗДІЛ 2 АНАЛІЗ ТА ПОРІВНЯННЯ СУЧАСНИХ ІНСТРУМЕНТІВ МОНІТОРИНГУ NPM ПАКЕТІВ 21 2.1 КРИТЕРІЇ ТА МЕТРИКИ ОЦІНЮВАННЯ ЕФЕКТИВНОСТІ ІНСТРУМЕНТІВ МОНІТОРИНГУ 21 2.2 ДОСЛІДЖЕННЯ ІНСТРУМЕНТІВ СИГНАТУРНОГО АНАЛІЗУ МЕТАДАНИХ 24 2.2.1 Архітектура та алгоритм функціонування npm audit 24 2.2.2 Автоматизація процесу оновлень за допомогою GitHub Dependabot 26 2.3 АНАЛІЗ СИСТЕМ ПОГЛИБЛЕНОГО СТАТИЧНОГО КОНТРОЛЮ ТА ТЕХНОЛОГІЇ REACHABILITY (SNYK) 29 2.4 АНАЛІЗ ПЛАТФОРМИ ПОВЕДІНКОВОГО МОНІТОРИНГУ SOCKET ТА ВИЯВЛЕННЯ ЗАГРОЗ НУЛЬОВОГО ДНЯ 31 2.5 УЗАГАЛЬНЕННЯ РЕЗУЛЬТАТІВ ПОРІВНЯЛЬНОГО АНАЛІЗУ ЗАСОБІВ ЗАХИСТУ 33 РОЗДІЛ 3 ПРОЕКТУВАННЯ КОМПЛЕКСНОЇ СИСТЕМИ ЗАХИСТУ ЛАНЦЮЖКА ПОСТАЧАННЯ В ЕКОСИСТЕМІ NODE.JS 34 3.1 РОЗРОБКА АРХІТЕКТУРИ СИСТЕМИ БЕЗПЕКИ В СЕРЕДОВИЩІ CI/CD 34 3.2 НАЛАШТУВАННЯ ПОЛІТИК БЕЗПЕКИ ТА АЛГОРИТМІВ БЛОКУВАННЯ ЗАГРОЗ 36 3.3 ПОРІВНЯЛЬНИЙ АНАЛІЗ ФУНКЦІОНАЛЬНИХ МОЖЛИВОСТЕЙ ЗАСОБІВ ЗАХИСТУ 40 3.4 ОБҐРУНТУВАННЯ ЕФЕКТИВНОСТІ ТА ДОЦІЛЬНОСТІ ВПРОВАДЖЕННЯ ГІБРИДНОЇ МОДЕЛІ ЗАХИСТУ 45 4 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ 47 4.1 ОХОРОНА ПРАЦІ 47 4.2 ЗАБЕЗПЕЧЕННЯ ЦИВІЛЬНОГО ЗАХИСТУ ТА ПОЖЕЖНОЇ БЕЗПЕКИ В УМОВАХ НАДЗВИЧАЙНИХ СИТУАЦІЙ 50 ВИСНОВКИ 54 ДОДАТОК А ПУБЛІКАЦІЯ 58
URI: http://elartu.tntu.edu.ua/handle/lib/51856
Copyright owner: © Стебельський Максим Віталійович, 2025
References (Ukraine): 1. The Node.js Project. (2024). Node.js documentation. https://nodejs.org/en/docs/ (дата звернення: 25.09.2025).
2. Sonatype. (2024). State of the software supply chain 2024. https://www.sonatype.com/state-of-the-software-supply-chain (дата звернення: 24.09.2025).
3. Preston-Werner, T. (n.d.). Semantic versioning 2.0.0. Semantic Versioning. https://semver.org/ (дата звернення: 26.09.2025).
4. CISA. (2021). Defending against software supply chain attacks. https://www.cisa.gov/publication/software-supply-chain-attacks (дата звернення: 28.09.2025).
5. NIST. (2025). CVE-2025-55182. National Vulnerability Database. https://nvd.nist.gov/vuln/detail/CVE-2025-55182 (дата звернення: 29.09.2025).
6. Birsan, A. (2021, February 9). Dependency confusion: How I hacked into Apple, Microsoft and dozens of other companies. Medium. https://medium.com/@alex.birsan/dependency-confusion (дата звернення: 02.10.2025).
7. Socket. (2024). Supply chain attack trends: Malware, typosquatting, and more. https://socket.dev/blog (дата звернення: 03.10.2025).
8. CISA. Software Bill of Materials (SBOM). https://www.cisa.gov/sbom (дата звернення: 05.10.2025).
9. OWASP. (2021). OWASP Top 10: 2021. https://owasp.org/Top10/ (дата звернення: 06.10.2025).
10. FIRST. (n.d.). CVSS v3.1: Specification document. https://www.first.org/cvss/v3.1/specification-document (дата звернення: 07.10.2025).
11. Загородна, Н. В. (2023). Методи та засоби забезпечення інформаційної безпеки в сучасних комп’ютерних системах [Навчальний посібник]. ТНТУ.
12. npm. (n.d.). npm-audit: Run a security audit. npm Docs. https://docs.npmjs.com/cli/v8/commands/npm-audit (дата звернення: 16.10.2025).
13. GitHub. (n.d.). GitHub advisory database. https://github.com/advisories (дата звернення: 17.10.2025).
14. GitHub. (n.d.). Keeping your dependencies secure automatically. GitHub Docs. https://docs.github.com/en/code-security/dependabot (дата звернення: 17.10.2025).
15. Snyk. (2024). The state of open source security 2024. https://snyk.io/reports/open-source-security/ (дата звернення: 18.10.2025).
16. Snyk. (2023). Reachability analysis: How to prioritize vulnerabilities. https://snyk.io/learn/reachability-analysis/ (дата звернення: 19.10.2025).
17. NIST. (2022). Secure software development framework (SSDF) version 1.1 (SP 800-218). National Institute of Standards and Technology. https://csrc.nist.gov/pubs/sp/800/218/final (дата звернення: 02.11.2025).
18. NIST. (2020). Zero trust architecture (SP 800-207). National Institute of Standards and Technology. https://csrc.nist.gov/publications/detail/sp/800-207/final (дата звернення: 05.11.2025).
19. Tylor, M. (2020). Prototype pollution in Node.js. Medium. https://medium.com/node-security/prototype-pollution (дата звернення: 10.11.2025).
20. ISO/IEC. (2013). Information technology — Security techniques — Information security management systems — Requirements (ISO/IEC 27001:2013).
21. Держнаглядохоронпраці. (1998). Правила безпечної експлуатації електроустановок споживачів (НПАОП 40.1-1.21-98).
22. Міненерговугілля України. (2017). Правила улаштування електроустановок. Форт.
23. ДП "УкрНДНЦ". (2019). Захист від ураження електричним струмом. Загальні аспекти щодо установок та обладнання (ДСТУ EN 61140:2019).
24. Осухівська, Г. М. (2022). Охорона праці в галузі: конспект лекцій. ТНТУ.
25. МОЗ України. (2002). Державні санітарні норми і правила при роботі з джерелами електромагнітних полів (ДСанПіН 3.3.6.096-2002). https://zakon.rada.gov.ua/laws/show/z0203-03 (дата звернення: 01.12.2025).
26. Верховна Рада України. (2012). Кодекс цивільного захисту України (№ 5403-VI). https://zakon.rada.gov.ua/laws/show/5403-17 (дата звернення: 02.12.2025).
27. МВС України. (2014). Правила пожежної безпеки в Україні (НАПБ А.01.001-2014). https://zakon.rada.gov.ua/laws/show/z0252-15 (дата звернення: 02.12.2025).
28. Стручок, В. С. (2022). Безпека в надзвичайних ситуаціях: методичний посібник. ФОП Паляниця В. А. https://elartu.tntu.edu.ua/handle/lib/39196 (дата звернення: 02.12.2025).
29. Стручок, В. С. (2022). Техноекологія та цивільна безпека. Частина «Цивільна безпека»: навчальний посібник. ФОП Паляниця В. А. http://elartu.tntu.edu.ua/handle/lib/39424 (дата звернення: 02.12.2025).
30. Kozak, R., Skorenkyy, Y., Kramar, O., Lechachenko, T., & Brevus, H. (2025). Cybersecurity provisioning for Industry 4.0 digital twin with AR components. In CEUR Workshop Proceedings, 3rd International Workshop on Computer Information Technologies in Industry (Vol. 4, pp. 166-178).
31. Derkach, M., Matiuk, D., Skarga-Bandurova, I., & Zagorodna, N. (2025). CrypticWave: A zero-persistence ephemeral messaging system with client-side encryption.
32. Stadnyk, M., Fryz, M., & Scherbak, L. The Feature Extraction and Estimation of a Steady-state Visual Evoked Potential by the Karhunen-Loeve Expansion. Eastern-European Journal of Enterprise Technologies, 1(4), 56-62.
33. Revniuk, O., Zagorodna, N., Kozak, R., & Yavorskyy, B. (2025). Development of an information system for the quantitative assessment of web application security based on the OWASP ASVS standard. Вісник Тернопільського національного технічного університету, 118(2), 56-65.
Content type: Master Thesis
Ebben a gyűjteményben:125 — кібербезпека, Кібербезпека та захист інформації

Fájlok a dokumentumban:
Fájl Leírás MéretFormátum 
Stebelskyi_Maksym_SBm-61_2025.pdf1,32 MBAdobe PDFMegtekintés/Megnyitás
A dokumentum részletes adatai


Minden dokumentum, ami a DSpace rendszerben szerepel, szerzői jogokkal védett. Minden jog fenntartva!

Admin Tools