The increasing reliance on Open-Source Software (OSS) in modern software development has led to a deeper and more complex Software Supply Chain (SSC) creating a new and broad target area for attackers aiming to exploit these vulnerabilities. This thesis explores the use of Software Bills of Materials (SBOMs) for vulnerability management in the SSC, aiming to reduce remediation times and minimize the window of opportunity for attackers. It examines a set of Open-Source projects to identify effective vulnerability management practices.

Despite the critical role of SBOMs in identifying and managing vulnerabilities, their adoption, and standardization remain limited. This limitation has, until recently, made it difficult to gather a large dataset of SBOMs from OSS. The idea to create a streamlined process to investigate different vulnerability metrics is therefore especially interesting, and a reasonable project for a master's thesis, as it does not involve developing any large-scale solution. Furthermore, the necessity for this type of research is underscored by recent high-profile cybersecurity incidents, such as the SolarWinds hack, which revealed severe vulnerabilities within the SSC.

The study first developed a method to gather a relevant SBOM dataset, drawing on previous works. Once collected, SBOMs were scanned for vulnerabilities using a vulnerability scanner. The output was used to calculate two metrics for each vulnerability: Vulnerability Exposure Time (VET) and Patch Latency. These measurements were categorized by ecosystem, vulnerability severity, and SBOM creation tool, then analyzed for statistical observations

The key findings indicate that projects using Syft for SBOM generation generally have shorter VET and patch latencies. A correlation was also found between VET and the software ecosystem, though this may be disproved with a more balanced dataset. Contrary to expectations, no correlation was found between the severity of vulnerabilities and their patch latency.

While the findings were not as decisive as hoped, the developed framework provides a new tool for researchers and practitioners to better understand and mitigate risks in the SSC.

Det ökande beroendet av öppen källkodsmjukvara (OSS) i modern mjukvaruutveckling har lett till en djupare och mer komplex programvaruförsörjningskedja (SSC), vilket skapar ett nytt och brett målområde för angripare som vill utnyttja dessa sårbarheter. Denna avhandling undersöker användningen av programvarukomponentlistor (SBOMs) för sårbarhetshantering i SSC, med målet att minska åtgärdstiderna och minimera möjlighetsfönstret för angripare. Den granskar ett antal projekt med öppen källkod för att identifiera effektiva metoder för sårbarhetshantering.

Trots den kritiska roll som SBOMs spelar i att identifiera och hantera sårbarheter, är deras antagande och standardisering fortfarande begränsad. Denna begränsning har, fram till nyligen, gjort det svårt att samla in en stor datamängd av SBOMs från OSS. Idén att skapa en strömlinjeformad process för att undersöka olika sårbarhetsmått är därför särskilt intressant och ett rimligt projekt för en masteruppsats, eftersom det inte innebär att utveckla någon storskalig lösning. Vidare understryks nödvändigheten av denna typ av forskning av nyligen uppmärksammade cybersäkerhetsincidenter, såsom SolarWinds-hacket, som avslöjade allvarliga sårbarheter inom SSC.

Studien utvecklade först en metod för att samla in en relevant datamängd av SBOMs, inspirerad av tidigare arbeten. När datan hade samlats in, skannades SBOMs för sårbarheter med hjälp av en sårbarhetsskanner. Resultaten användes för att beräkna två mått för varje sårbarhet: sårbarhetsexponeringstid (VET) och patch-fördröjning. Dessa mätningar kategoriserades efter ekosystem, sårbarhetens allvarlighetsgrad och SBOM-skapande verktyg, och analyserades sedan för statistiska observationer.

De viktigaste resultaten visar att projekt som använder Syft för SBOM-generering generellt har kortare VET och patch-fördröjning. En korrelation hittades också mellan VET och programvaruekosystemet, men detta kan motbevisas med en mer balanserad datamängd. I motsats till förväntningarna hittades ingen korrelation mellan sårbarheternas allvarlighetsgrad och deras patch-fördröjning.

Även om resultaten inte var så avgörande som man hoppats på, ger det utvecklade ramverket ett nytt verktyg för forskare och praktiker att bättre förstå och minska riskerna i programvaruförsörjningskedjan (SSC).