1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Роботи студентів
  3. Магістр
  4. 125 — кібербезпека, Кібербезпека та захист інформації
Denne identifikatoren kan du bruke til å sitere eller lenke til denne innførselen: http://elartu.tntu.edu.ua/handle/lib/51856
Fullstendig metadatavisning
DC FeltVerdiSpråk
dc.contributor.advisorЗагородна, Наталія Володимирівна-
dc.contributor.advisorZagorodna, Nataliya-
dc.contributor.authorСтебельський, Максим Віталійович-
dc.contributor.authorStebelskyi, Maksym-
dc.date.accessioned2026-02-28T14:52:38Z-
dc.date.available2026-02-28T14:52:38Z-
dc.date.issued2026-01-03-
dc.date.submitted2025-12-23-
dc.identifier.citationСтебельський М. В. Дослідження сучасних інструментів моніторингу вразливих npm-пакетів у Node.js-проектах : кваліфікаційна робота на здобуття освітнього ступеня магістр за спеціальністю „125 — Кібербезпека та захист інформації“ / М. В. Стебельський. — Тернопіль: ТНТУ, 2025. — 59 с.uk_UA
dc.identifier.urihttp://elartu.tntu.edu.ua/handle/lib/51856-
dc.description.abstractКваліфікаційна робота присвячена аналізу загроз ланцюжка постачання в екосистемі Node.js та дослідженню ефективності інструментів захисту. Перший розділ закладає теоретичні основи безпеки ланцюжка постачання. У ньому розглядаються архітектура реєстру npm та специфіка управління залежностями, з акцентом на класифікацію векторів атак, таких як атаки з підміною назв пакетів або повна підміна пакетів, що становлять ключові загрози для екосистеми. Другий розділ присвячено порівняльному аналізу сучасних засобів моніторингу. У ньому визначено типові метрики ефективності сканерів, досліджено роботу інструментів сигнатурного контролю, систем аналізу досяжності коду та платформ поведінкового аналізу, виявлено їхні переваги та обмеження. Третій розділ зосереджено на обґрунтуванні комплексного підходу до захисту. У ньому запропоновано схему інтеграції засобів безпеки у CI/CD-конвеєр, описано налаштування політик автоматичного блокування загроз та продемонстровано переваги гібридної моделі, що поєднує статичний та поведінковий аналіз.uk_UA
dc.description.abstractThe thesis is devoted to analyzing threats to the supply chain in the Node.js ecosystem and researching the effectiveness of protection tools. The first section lays the theoretical foundations of supply chain security. It examines the architecture of the npm registry and the specifics of dependency management, with an emphasis on the classification of attack vectors such as domain spoofing and package tampering, which pose key threats to the ecosystem. The second section is devoted to a comparative analysis of modern monitoring tools. It defines typical metrics for scanner effectiveness, examines the operation of signature control tools, code reachability analysis systems, and behavioral analysis platforms, and identifies their advantages and limitations. The third section focuses on justifying a comprehensive approach to protection. It proposes a scheme for integrating security measures into the CI/CD pipeline, describes how to configure automatic threat blocking policies, and demonstrates the advantages of a hybrid model that combines static and behavioral analysis.uk_UA
dc.description.tableofcontentsПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ, СИМВОЛІВ, ОДИНИЦЬ, СКОРОЧЕНЬ І ТЕРМІНІВ 8 ВСТУП 9 РОЗДІЛ 1 АНАЛІЗ СТАНУ ПРОБЛЕМИ БЕЗПЕКИ ЛАНЦЮЖКА ПОСТАЧАННЯ В ЕКОСИСТЕМІ NODE.JS 11 1.1 КОНЦЕПЦІЯ МОДУЛЬНОЇ РОЗРОБКИ В СЕРЕДОВИЩІ NODE.JS ТА РОЛЬ NPM 11 1.2 КЛАСИФІКАЦІЯ ЗАГРОЗ БЕЗПЕЦІ ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ 13 1.3 АНАЛІЗ МЕХАНІЗМІВ РЕАЛІЗАЦІЇ СУЧАСНИХ КІБЕРЗАГРОЗ 15 1.4 ОГЛЯД ІСНУЮЧИХ ПІДХОДІВ ДО АНАЛІЗУ СКЛАДУ ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ 18 РОЗДІЛ 2 АНАЛІЗ ТА ПОРІВНЯННЯ СУЧАСНИХ ІНСТРУМЕНТІВ МОНІТОРИНГУ NPM ПАКЕТІВ 21 2.1 КРИТЕРІЇ ТА МЕТРИКИ ОЦІНЮВАННЯ ЕФЕКТИВНОСТІ ІНСТРУМЕНТІВ МОНІТОРИНГУ 21 2.2 ДОСЛІДЖЕННЯ ІНСТРУМЕНТІВ СИГНАТУРНОГО АНАЛІЗУ МЕТАДАНИХ 24 2.2.1 Архітектура та алгоритм функціонування npm audit 24 2.2.2 Автоматизація процесу оновлень за допомогою GitHub Dependabot 26 2.3 АНАЛІЗ СИСТЕМ ПОГЛИБЛЕНОГО СТАТИЧНОГО КОНТРОЛЮ ТА ТЕХНОЛОГІЇ REACHABILITY (SNYK) 29 2.4 АНАЛІЗ ПЛАТФОРМИ ПОВЕДІНКОВОГО МОНІТОРИНГУ SOCKET ТА ВИЯВЛЕННЯ ЗАГРОЗ НУЛЬОВОГО ДНЯ 31 2.5 УЗАГАЛЬНЕННЯ РЕЗУЛЬТАТІВ ПОРІВНЯЛЬНОГО АНАЛІЗУ ЗАСОБІВ ЗАХИСТУ 33 РОЗДІЛ 3 ПРОЕКТУВАННЯ КОМПЛЕКСНОЇ СИСТЕМИ ЗАХИСТУ ЛАНЦЮЖКА ПОСТАЧАННЯ В ЕКОСИСТЕМІ NODE.JS 34 3.1 РОЗРОБКА АРХІТЕКТУРИ СИСТЕМИ БЕЗПЕКИ В СЕРЕДОВИЩІ CI/CD 34 3.2 НАЛАШТУВАННЯ ПОЛІТИК БЕЗПЕКИ ТА АЛГОРИТМІВ БЛОКУВАННЯ ЗАГРОЗ 36 3.3 ПОРІВНЯЛЬНИЙ АНАЛІЗ ФУНКЦІОНАЛЬНИХ МОЖЛИВОСТЕЙ ЗАСОБІВ ЗАХИСТУ 40 3.4 ОБҐРУНТУВАННЯ ЕФЕКТИВНОСТІ ТА ДОЦІЛЬНОСТІ ВПРОВАДЖЕННЯ ГІБРИДНОЇ МОДЕЛІ ЗАХИСТУ 45 4 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ 47 4.1 ОХОРОНА ПРАЦІ 47 4.2 ЗАБЕЗПЕЧЕННЯ ЦИВІЛЬНОГО ЗАХИСТУ ТА ПОЖЕЖНОЇ БЕЗПЕКИ В УМОВАХ НАДЗВИЧАЙНИХ СИТУАЦІЙ 50 ВИСНОВКИ 54 ДОДАТОК А ПУБЛІКАЦІЯ 58uk_UA
dc.language.isoukuk_UA
dc.subjectNode.jsuk_UA
dc.subjectnpmuk_UA
dc.subjectдоступністьuk_UA
dc.subjectreachabilityuk_UA
dc.subjectшкідливе програмне забезпеченняuk_UA
dc.subjectmalwareuk_UA
dc.subjectланцюжок постачанняuk_UA
dc.subjectsupply chainuk_UA
dc.subjectSCAuk_UA
dc.titleДослідження сучасних інструментів моніторингу вразливих npm-пакетів у Node.js-проектахuk_UA
dc.title.alternativeResearch of Modern Tools for Monitoring Vulnerable npm-packages in Node.js projectsuk_UA
dc.typeMaster Thesisuk_UA
dc.rights.holder© Стебельський Максим Віталійович, 2025uk_UA
dc.contributor.committeeMemberСтадник, Наталія Богданівна-
dc.contributor.committeeMemberStadnyk, Nataliya-
dc.coverage.placenameТНТУ ім. І.Пулюя, ФІС, м. Тернопіль, Українаuk_UA
dc.subject.udc004.56uk_UA
dc.relation.references1. The Node.js Project. (2024). Node.js documentation. https://nodejs.org/en/docs/ (дата звернення: 25.09.2025).uk_UA
dc.relation.references2. Sonatype. (2024). State of the software supply chain 2024. https://www.sonatype.com/state-of-the-software-supply-chain (дата звернення: 24.09.2025).uk_UA
dc.relation.references3. Preston-Werner, T. (n.d.). Semantic versioning 2.0.0. Semantic Versioning. https://semver.org/ (дата звернення: 26.09.2025).uk_UA
dc.relation.references4. CISA. (2021). Defending against software supply chain attacks. https://www.cisa.gov/publication/software-supply-chain-attacks (дата звернення: 28.09.2025).uk_UA
dc.relation.references5. NIST. (2025). CVE-2025-55182. National Vulnerability Database. https://nvd.nist.gov/vuln/detail/CVE-2025-55182 (дата звернення: 29.09.2025).uk_UA
dc.relation.references6. Birsan, A. (2021, February 9). Dependency confusion: How I hacked into Apple, Microsoft and dozens of other companies. Medium. https://medium.com/@alex.birsan/dependency-confusion (дата звернення: 02.10.2025).uk_UA
dc.relation.references7. Socket. (2024). Supply chain attack trends: Malware, typosquatting, and more. https://socket.dev/blog (дата звернення: 03.10.2025).uk_UA
dc.relation.references8. CISA. Software Bill of Materials (SBOM). https://www.cisa.gov/sbom (дата звернення: 05.10.2025).uk_UA
dc.relation.references9. OWASP. (2021). OWASP Top 10: 2021. https://owasp.org/Top10/ (дата звернення: 06.10.2025).uk_UA
dc.relation.references10. FIRST. (n.d.). CVSS v3.1: Specification document. https://www.first.org/cvss/v3.1/specification-document (дата звернення: 07.10.2025).uk_UA
dc.relation.references11. Загородна, Н. В. (2023). Методи та засоби забезпечення інформаційної безпеки в сучасних комп’ютерних системах [Навчальний посібник]. ТНТУ.uk_UA
dc.relation.references12. npm. (n.d.). npm-audit: Run a security audit. npm Docs. https://docs.npmjs.com/cli/v8/commands/npm-audit (дата звернення: 16.10.2025).uk_UA
dc.relation.references13. GitHub. (n.d.). GitHub advisory database. https://github.com/advisories (дата звернення: 17.10.2025).uk_UA
dc.relation.references14. GitHub. (n.d.). Keeping your dependencies secure automatically. GitHub Docs. https://docs.github.com/en/code-security/dependabot (дата звернення: 17.10.2025).uk_UA
dc.relation.references15. Snyk. (2024). The state of open source security 2024. https://snyk.io/reports/open-source-security/ (дата звернення: 18.10.2025).uk_UA
dc.relation.references16. Snyk. (2023). Reachability analysis: How to prioritize vulnerabilities. https://snyk.io/learn/reachability-analysis/ (дата звернення: 19.10.2025).uk_UA
dc.relation.references17. NIST. (2022). Secure software development framework (SSDF) version 1.1 (SP 800-218). National Institute of Standards and Technology. https://csrc.nist.gov/pubs/sp/800/218/final (дата звернення: 02.11.2025).uk_UA
dc.relation.references18. NIST. (2020). Zero trust architecture (SP 800-207). National Institute of Standards and Technology. https://csrc.nist.gov/publications/detail/sp/800-207/final (дата звернення: 05.11.2025).uk_UA
dc.relation.references19. Tylor, M. (2020). Prototype pollution in Node.js. Medium. https://medium.com/node-security/prototype-pollution (дата звернення: 10.11.2025).uk_UA
dc.relation.references20. ISO/IEC. (2013). Information technology — Security techniques — Information security management systems — Requirements (ISO/IEC 27001:2013).uk_UA
dc.relation.references21. Держнаглядохоронпраці. (1998). Правила безпечної експлуатації електроустановок споживачів (НПАОП 40.1-1.21-98).uk_UA
dc.relation.references22. Міненерговугілля України. (2017). Правила улаштування електроустановок. Форт.uk_UA
dc.relation.references23. ДП "УкрНДНЦ". (2019). Захист від ураження електричним струмом. Загальні аспекти щодо установок та обладнання (ДСТУ EN 61140:2019).uk_UA
dc.relation.references24. Осухівська, Г. М. (2022). Охорона праці в галузі: конспект лекцій. ТНТУ.uk_UA
dc.relation.references25. МОЗ України. (2002). Державні санітарні норми і правила при роботі з джерелами електромагнітних полів (ДСанПіН 3.3.6.096-2002). https://zakon.rada.gov.ua/laws/show/z0203-03 (дата звернення: 01.12.2025).uk_UA
dc.relation.references26. Верховна Рада України. (2012). Кодекс цивільного захисту України (№ 5403-VI). https://zakon.rada.gov.ua/laws/show/5403-17 (дата звернення: 02.12.2025).uk_UA
dc.relation.references27. МВС України. (2014). Правила пожежної безпеки в Україні (НАПБ А.01.001-2014). https://zakon.rada.gov.ua/laws/show/z0252-15 (дата звернення: 02.12.2025).uk_UA
dc.relation.references28. Стручок, В. С. (2022). Безпека в надзвичайних ситуаціях: методичний посібник. ФОП Паляниця В. А. https://elartu.tntu.edu.ua/handle/lib/39196 (дата звернення: 02.12.2025).uk_UA
dc.relation.references29. Стручок, В. С. (2022). Техноекологія та цивільна безпека. Частина «Цивільна безпека»: навчальний посібник. ФОП Паляниця В. А. http://elartu.tntu.edu.ua/handle/lib/39424 (дата звернення: 02.12.2025).uk_UA
dc.relation.references30. Kozak, R., Skorenkyy, Y., Kramar, O., Lechachenko, T., & Brevus, H. (2025). Cybersecurity provisioning for Industry 4.0 digital twin with AR components. In CEUR Workshop Proceedings, 3rd International Workshop on Computer Information Technologies in Industry (Vol. 4, pp. 166-178).uk_UA
dc.relation.references31. Derkach, M., Matiuk, D., Skarga-Bandurova, I., & Zagorodna, N. (2025). CrypticWave: A zero-persistence ephemeral messaging system with client-side encryption.uk_UA
dc.relation.references32. Stadnyk, M., Fryz, M., & Scherbak, L. The Feature Extraction and Estimation of a Steady-state Visual Evoked Potential by the Karhunen-Loeve Expansion. Eastern-European Journal of Enterprise Technologies, 1(4), 56-62.uk_UA
dc.relation.references33. Revniuk, O., Zagorodna, N., Kozak, R., & Yavorskyy, B. (2025). Development of an information system for the quantitative assessment of web application security based on the OWASP ASVS standard. Вісник Тернопільського національного технічного університету, 118(2), 56-65.uk_UA
dc.contributor.affiliationТНТУ ім. І. Пулюя, Факультет комп’ютерно-інформаційних систем і програмної інженерії, Кафедра кібербезпеки, м. Тернопіль, Українаuk_UA
dc.coverage.countryUAuk_UA
Vises i samlingene:125 — кібербезпека, Кібербезпека та захист інформації

Tilhørende filer:
Fil Beskrivelse StørrelseFormat 
Stebelskyi_Maksym_SBm-61_2025.pdf1,32 MBAdobe PDFVis/Åpne
Vis enkel innførsel


Alle innførsler i DSpace er beskyttet av copyright

Administrasjonsverktøy