Método de análise de tempo para correções de vulnerabilidades em distribuições Linux
| dc.contributor.advisor1 | Matias, Paulo | |
| dc.contributor.advisor1Lattes | http://lattes.cnpq.br/3792055796261017 | |
| dc.contributor.advisor1orcid | https://orcid.org/0000-0002-6504-5141 | |
| dc.contributor.author | França, Daniel Ettore Storolli | |
| dc.contributor.authorlattes | http://lattes.cnpq.br/9646531665689778 | |
| dc.contributor.authororcid | https://orcid.org/0009-0000-2863-9269 | |
| dc.contributor.referee | Guardia, Helio Crestana | |
| dc.contributor.referee | Monaco, Francisco José | |
| dc.contributor.refereeLattes | http://lattes.cnpq.br/1780902767520967 | |
| dc.contributor.refereeLattes | http://lattes.cnpq.br/7489482613903725 | |
| dc.contributor.refereeorcid | https://orcid.org/0000-0001-5010-747X | |
| dc.contributor.refereeorcid | https://orcid.org/0000-0001-6172-2689 | |
| dc.date.accessioned | 2025-12-10T20:58:49Z | |
| dc.date.issued | 2025-12-03 | |
| dc.description.abstract | Linux-based operating systems are widely used; however, like any software, they are susceptible to security vulnerabilities that can lead to critical service disruptionsor unauthorized access to sensitive data. These flaws, formally cataloged as Common Vulnerabilities and Exposures (CVE) after identification by a CVE Numbering Authority (CNA), are registered with a Common Vulnerabilities and Exposures ID (CVE ID). Immediate public disclosure of these records does not always occur, as premature exposure can be exploited by malicious actors before patches are available, making swift resolution essential. This work proposes and applies the Collection and Analysis of Correction Time method (ColATeC) to investigate the lifecycle of vulnerabilities in Linux distributions. The analyzed distributions include Red Hat (6, 7, 8, and 9), AlmaLinux (8 and 9), Rocky Linux (8 and 9), Debian (10, 11, 12, Sid, and Trixie), and Ubuntu (16.04, 18.04, 20.04, and 22.04), with the following objectives: (i) map vulnerability disclosure mechanisms adopted by each distribution; (ii) compare public data with records from the National Institute of Standards and Technology (NIST); (iii) quantify vulnerabilities per distribution; (iv) measure average patching times; and (v) evaluate disclosure policies across versions of the same distribution. The results revealed significant variations in patching efficiency among distributions, identifying those with higher vulnerability density and faster response times. Additionally, discrepancies in published data were detected, suggesting opportunities for improvement in transparency and the adoption of structured formats (e.g. JavaScript Object Notation (JSON)). In conclusion, the ColATeC method establishes itself as a strategic tool for continuous monitoring of cybersecurity metrics. Its adoption aims to support decision-making and strengthen security postures in Linux-based ecosystems and other software environments. | eng |
| dc.description.resumo | Sistemas operacionais baseados em distribuições Linux são amplamente utilizados, mas, assim como qualquer software, estão sujeitos a vulnerabilidades de segurança que podem causar interrupções críticas de serviços ou acesso não autorizado a dados sensíveis. Essas falhas, formalmente catalogadas como Common Vulnerabilities and Exposures (CVE), após identificação por uma CVE Numbering Authority (CNA), são registradas com um Common Vulnerabilities and Exposures Identifier (CVE ID). A divulgação pública imediata desses registros nem sempre ocorre, pois a exposição prematura pode ser explorada por agentes maliciosos antes da disponibilização de correções, tornando a agilidade na resolução essencial. Este trabalho propõe e aplica o método Coleta e Análise do Tempo de Correção (ColATeC) para investigar o ciclo de vida de vulnerabilidades em distribuições Linux. Foram analisadas as distribuições Red Hat (6, 7, 8 e 9), AlmaLinux (8 e 9), Rocky Linux (8 e 9), Debian (10, 11, 12, Sid e Trixie) e Ubuntu (16.04, 18.04, 20.04 e 22.04), com os seguintes objetivos: (i) mapear os mecanismos de divulgação de vulnerabilidades adotados por cada distribuição; (ii) comparar os dados públicos com os registros do National Institute of Standards and Technology (NIST); (iii) quantificar vulnerabilidades por distribuição; (iv) mensurar tempos médios de correção; e (v) avaliar políticas de divulgação entre versões de uma mesma distribuição. Os resultados revelaram variações significativas na eficiência de correção entre as distribuições, identificando aquelas com maior densidade de vulnerabilidades e respostas mais ágeis. Além disso, detectaram-se discrepâncias entre os dados publicados, indicando oportunidades de aprimoramento na transparência e na adoção de formatos estruturados (ex. JavaScript Object Notation (JSON)). Conclui-se que o método ColATeC configura-se como ferramenta estratégica para monitoramento contínuo de métricas de segurança cibernética. Sua adoção visa subsidiar a tomada de decisões e contribuir para o fortalecimento da postura de segurança em ecossistemas baseados em Linux e outros softwares. | |
| dc.identifier.citation | FRANÇA, Daniel Ettore Storolli. Método de análise de tempo para correções de vulnerabilidades em distribuições Linux. 2025. Dissertação (Mestrado em Ciência da Computação) – Universidade Federal de São Carlos, São Carlos, 2025. Disponível em: https://repositorio.ufscar.br/handle/20.500.14289/23171. | por |
| dc.identifier.uri | https://hdl.handle.net/20.500.14289/23171 | |
| dc.language.iso | por | |
| dc.publisher | Universidade Federal de São Carlos | |
| dc.publisher.address | Campus São Carlos | |
| dc.publisher.initials | UFSCar | |
| dc.publisher.program | Programa de Pós-Graduação em Ciência da Computação - PPGCC | |
| dc.rights | Attribution-NonCommercial-NoDerivs 3.0 Brazil | en |
| dc.rights.uri | http://creativecommons.org/licenses/by-nc-nd/3.0/br/ | |
| dc.subject | Segurança da Informação | |
| dc.subject | Linux | |
| dc.subject | Métricas temporais | |
| dc.subject.cnpq | CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO::SISTEMAS DE COMPUTACAO::TELEINFORMATICA | |
| dc.subject.cnpq | CIENCIAS EXATAS E DA TERRA::CIENCIA DA COMPUTACAO::METODOLOGIA E TECNICAS DA COMPUTACAO::ENGENHARIA DE SOFTWARE | |
| dc.subject.ods | 9. Indústria, Inovação e Infraestrutura | |
| dc.subject.ods | 16. Paz, Justiça e Instituições Eficazes | |
| dc.subject.ods | 17. Parcerias e Meios de Implementação | |
| dc.title | Método de análise de tempo para correções de vulnerabilidades em distribuições Linux | |
| dc.title.alternative | Time analysis method for vulnerability fixes in Linux distributions | eng |
| dc.type | Dissertação |
Arquivos
Pacote Original
1 - 1 de 1
Carregando...
- Nome:
- dissertacao_daniel_ettore_storolli_franca_2025.pdf
- Tamanho:
- 19.08 MB
- Formato:
- Adobe Portable Document Format