論文の概要: Detecting Misuses of Security APIs: A Systematic Review
- arxiv url: http://arxiv.org/abs/2306.08869v1
- Date: Thu, 15 Jun 2023 05:53:23 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-23 19:35:40.815638
- Title: Detecting Misuses of Security APIs: A Systematic Review
- Title(参考訳): セキュリティapiの誤用の検出 - 体系的レビュー
- Authors: Zahra Mousavi, Chadni Islam, M. Ali Babar, Alsharif Abuadbba, and
Kristen Moore
- Abstract要約: セキュリティAPIの誤使用は、ハッカーが悪用できる脆弱性をもたらす可能性がある。
API設計の複雑さ、不十分なドキュメント、不十分なセキュリティトレーニングは、セキュリティAPIを誤用する理由のひとつだ。
弊社のレビューは、セキュリティAPIの誤用を検出する最先端技術に関するオープンな研究課題を強調している。
- 参考スコア(独自算出の注目度): 5.329280109719902
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Security Application Programming Interfaces (APIs) play a vital role in
ensuring software security. However, misuse of security APIs may introduce
vulnerabilities that can be exploited by hackers. API design complexities,
inadequate documentation and insufficient security training are some of the
reasons for misusing security APIs. In order to help developers and
organizations, software security community have devised and evaluated several
approaches to detecting misuses of security APIs. We rigorously analyzed and
synthesized the literature on security APIs misuses for building a body of
knowledge on the topic. Our review has identified and discussed the security
APIs studied from misuse perspective, the types of reported misuses and the
approaches developed to detect misuses and how the proposed approaches have
been evaluated. Our review has also highlighted the open research issues for
advancing the state-of-the-art of detecting misuse of security APIs.
- Abstract(参考訳): セキュリティアプリケーションプログラミングインターフェース(API)は、ソフトウェアのセキュリティを確保する上で重要な役割を果たす。
しかし、セキュリティAPIの誤用は、ハッカーによって悪用される可能性のある脆弱性をもたらす可能性がある。
API設計の複雑さ、不十分なドキュメント、不十分なセキュリティトレーニングは、セキュリティAPIを誤用する理由のひとつだ。
開発者や組織を支援するため、ソフトウェアセキュリティコミュニティは、セキュリティapiの誤用を検出するためのいくつかのアプローチを考案し、評価した。
セキュリティapiの誤用に関する文献を厳密に分析・合成し,その話題に関する知識の体系を構築した。
本レビューでは,誤用の観点から検討したセキュリティapi,報告された誤用の種類,誤用検出のためのアプローチ,提案手法の評価について検討した。
私たちのレビューでは、セキュリティAPIの誤用を検出する最先端技術に関するオープンな研究課題も強調しています。
関連論文リスト
- An Investigation into Misuse of Java Security APIs by Large Language Models [9.453671056356837]
本稿では,Java のセキュリティ API ユースケースに対する ChatGPT のコード生成に対する信頼性を体系的に評価する。
タスク毎に30の試行にまたがるコードインスタンスの約70%には、セキュリティAPIの誤用が含まれており、20の異なる誤用タイプが識別されている。
約半数のタスクにおいて、この割合は100%に達し、開発者がセキュリティAPIコードを安全に実装するためにChatGPTに頼るまでには長い道のりがあることを示している。
論文 参考訳(メタデータ) (2024-04-04T22:52:41Z) - What Can Self-Admitted Technical Debt Tell Us About Security? A
Mixed-Methods Study [6.286506087629511]
自己充足型技術的負債(SATD)
潜在的に悪用可能な脆弱性や セキュリティ上の欠陥に関する 恐ろしい情報源と見なすことができます
本研究は、SATDのセキュリティへの影響を、技術と開発者中心の観点から検討する。
論文 参考訳(メタデータ) (2024-01-23T13:48:49Z) - A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。
本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。
実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
論文 参考訳(メタデータ) (2024-01-19T14:52:04Z) - The Art of Defending: A Systematic Evaluation and Analysis of LLM
Defense Strategies on Safety and Over-Defensiveness [56.174255970895466]
大規模言語モデル(LLM)は、自然言語処理アプリケーションにおいて、ますます重要な役割を担っている。
本稿では,SODE(Safety and Over-Defensiveness Evaluation)ベンチマークを提案する。
論文 参考訳(メタデータ) (2023-12-30T17:37:06Z) - Finding Vulnerabilities in Mobile Application APIs: A Modular Programmatic Approach [0.0]
アプリケーションプログラミングインタフェース(API)は、さまざまなモバイルアプリケーションでデータを転送するのにますます人気になっている。
これらのAPIはエンドポイントを通じてセンシティブなユーザ情報を処理します。
本稿では,様々なモバイルAndroidアプリケーションの情報漏洩を分析するために,モジュール型エンドポイント脆弱性検出ツールを開発した。
論文 参考訳(メタデータ) (2023-10-22T00:08:51Z) - Communicating on Security within Software Development Issue Tracking [0.0]
著名なイシュートラッカからインターフェースを分析して、セキュリティコミュニケーションをどのようにサポートし、セキュリティスコアをどのように統合するかを確認します。
本研究ではCVSS分析に満足しなかったが,CVSSと互換性のある推論が可能であった。
これは、問題追跡ソフトウェアにおけるCVSSのような質問によるコミュニケーションの改善により、より良いセキュリティインタラクションが引き起こされる可能性があることを示唆している。
論文 参考訳(メタデータ) (2023-08-25T16:38:27Z) - Leveraging Traceability to Integrate Safety Analysis Artifacts into the
Software Development Process [51.42800587382228]
安全保証ケース(SAC)は、システムの進化中に維持することが困難である。
本稿では,ソフトウェアトレーサビリティを活用して,関連するシステムアーチファクトを安全解析モデルに接続する手法を提案する。
安全ステークホルダーがシステム変更が安全性に与える影響を分析するのに役立つように、システム変更の合理性を設計する。
論文 参考訳(メタデータ) (2023-07-14T16:03:27Z) - OpenAPI Specification Extended Security Scheme: A method to reduce the prevalence of Broken Object Level Authorization [0.0]
API Securityは、OpenAPI標準の標準化された承認が欠如していることを考えると、懸念すべきトピックである。
本稿では,APIセキュリティにおける第1の脆弱性として,Broken Object Level Authorization(BOLA)について検討する。
論文 参考訳(メタデータ) (2022-12-13T14:28:06Z) - Inspect, Understand, Overcome: A Survey of Practical Methods for AI
Safety [54.478842696269304]
安全クリティカルなアプリケーションにディープニューラルネットワーク(DNN)を使用することは、多数のモデル固有の欠点のために困難です。
近年,これらの安全対策を目的とした最先端技術動物園が出現している。
本稿は、機械学習の専門家と安全エンジニアの両方に対処する。
論文 参考訳(メタデータ) (2021-04-29T09:54:54Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z) - Mind the GAP: Security & Privacy Risks of Contact Tracing Apps [75.7995398006171]
GoogleとAppleは共同で,Bluetooth Low Energyを使用した分散型コントラクトトレースアプリを実装するための公開通知APIを提供している。
実世界のシナリオでは、GAP設計は(i)プロファイリングに脆弱で、(ii)偽の連絡先を生成できるリレーベースのワームホール攻撃に弱いことを実証する。
論文 参考訳(メタデータ) (2020-06-10T16:05:05Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。