Advanced Techniques for enhancing Security in the software supply Chain

• Autores: Antonio German Marquez Trujillo
• Directores de la Tesis: Ángel Jesús Varela Vaca (dir. tes.)
• Lectura: En la Universidad de Sevilla ( España ) en 2025
• Idioma: inglés
• Número de páginas: 143
• Enlaces
  • Tesis en acceso abierto en: Idus
• Resumen

  • La cadena de suministro de software (Software Supply Chain) se ha convertido en un elemento esencial y, al mismo tiempo, crítico en el desarrollo de sistemas software modernos. El uso masivo de componentes de terceros ha permitido acelerar los procesos de desarrollo y fomentar la reutilización, pero también ha introducido riesgos de seguridad significativos que afectan a todo el ecosistema de software, desde bibliotecas externas hasta servicios desplegados en producción. En este contexto, esta tesis doctoral propone y evalúa un conjunto de técnicas avanzadas destinadas a fortalecer la seguridad en la Software Supply Chain, con especial énfasis en la detección de vulnerabilidades, la evaluación de su explotabilidad y la automatización de documentos de seguridad.

    La investigación se articula en torno a tres objetivos principales. El primero consiste en el desarrollo de Depex, una herramienta diseñada para construir grafos de dependencias (directas e indirectas) e identificar automáticamente vulnerabilidades que afectan a la cadena de suministro software. Este análisis se realiza mediante razonamiento lógico sobre información extraída de repositorios de seguridad como NVD, OSV, VulnersDB y ExploitDB. El segundo objetivo da lugar a VEXGen, un sistema para la generación automática y enriquecimiento de documentos VEX (Vulnerability Exploitability eXchange). Estos documentos permiten comunicar de forma estructurada el estado de explotabilidad de las vulnerabilidades que afectan a componentes de la Software Supply Chain, optimizando la toma de decisiones en contextos de gestión de riesgos. VEXGen automatiza un proceso tradicionalmente manual y propenso a errores, reduciendo así el esfuerzo requerido para mantener la trazabilidad y transparencia de los riesgos en la cadena de suministro.

    El tercer aporte clave es Niffler, un Small Language Model (SLM) entrenado específicamente para recomendar exploits a vulnerabilidades sin exploits conocidos. Esta herramienta resulta especialmente útil en entornos de la Software Supply Chain, donde muchas vulnerabilidades carecen de exploits públicos, dificultando la priorización y evaluación de su impacto. Niffler contribuye a cubrir ese vacío mediante técnicas de inteligencia artificial aplicadas a grandes volúmenes de información de seguridad. La tesis se enmarca metodológicamente en el paradigma de Design Science Research (DSR) y sus resultados han sido validados en contextos académicos e industriales reales. Las soluciones desarrolladas permiten abordar de forma integral los retos actuales de seguridad en la cadena de suministro de software, mejorando la eficiencia, precisión y automatización de tareas críticas como la detección de vulnerabilidades, la generación de documentación de seguridad y la evaluación de amenazas. En conjunto, esta investigación contribuye de manera significativa a la protección de los activos digitales y al fortalecimiento de la Software Supply Chain como componente estratégico en el desarrollo y mantenimiento de software seguro.