論文の概要: A Comparative Study of Software Secrets Reporting by Secret Detection Tools

• arxiv url: http://arxiv.org/abs/2307.00714v1
• Date: Mon, 3 Jul 2023 02:32:09 GMT
• ステータス: 処理完了
• システム内更新日: 2023-10-23 18:24:28.305002
• Title: A Comparative Study of Software Secrets Reporting by Secret Detection Tools
• Title（参考訳）: シークレット検出ツールによるソフトウェアシークレット報告の比較研究
• Authors: Setu Kumar Basak, Jamison Cox, Bradley Reaves and Laurie Williams
• Abstract要約: GitGuardianの公開GitHubリポジトリの監視によると、2022年にはシークレットが2021と比較して67%加速した。 ベンチマークデータセットに対する5つのオープンソースと4つのプロプライエタリなツールの評価を行う。 GitHub Secret Scanner (75%)、Gitleaks (46%)、Commercial X (25%)、リコールに基づく上位3つのツールは、Gitleaks (88%)、SpectralOps (67%)、TruffleHog (52%)である。
• 参考スコア（独自算出の注目度）: 5.9347272469695245
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Background: According to GitGuardian's monitoring of public GitHub repositories, secrets sprawl continued accelerating in 2022 by 67% compared to 2021, exposing over 10 million secrets (API keys and other credentials). Though many open-source and proprietary secret detection tools are available, these tools output many false positives, making it difficult for developers to take action and teams to choose one tool out of many. To our knowledge, the secret detection tools are not yet compared and evaluated. Aims: The goal of our study is to aid developers in choosing a secret detection tool to reduce the exposure of secrets through an empirical investigation of existing secret detection tools. Method: We present an evaluation of five open-source and four proprietary tools against a benchmark dataset. Results: The top three tools based on precision are: GitHub Secret Scanner (75%), Gitleaks (46%), and Commercial X (25%), and based on recall are: Gitleaks (88%), SpectralOps (67%) and TruffleHog (52%). Our manual analysis of reported secrets reveals that false positives are due to employing generic regular expressions and ineffective entropy calculation. In contrast, false negatives are due to faulty regular expressions, skipping specific file types, and insufficient rulesets. Conclusions: We recommend developers choose tools based on secret types present in their projects to prevent missing secrets. In addition, we recommend tool vendors update detection rules periodically and correctly employ secret verification mechanisms by collaborating with API vendors to improve accuracy.
• Abstract（参考訳）: 背景: GitGuardianの公開GitHubリポジトリの監視によると、2022年にはシークレットが2021年に比べて67%増加し、1000万以上のシークレット(APIキーなど)が公開されている。 多くのオープンソースおよびプロプライエタリなシークレット検出ツールが利用可能だが、これらのツールは多くの偽陽性を出力しているため、開発者はアクションを取るのが難しく、チームは多くのツールを選択できる。 我々の知る限りでは、秘密検出ツールはまだ比較・評価されていない。 Aims: 私たちの研究の目的は、開発者が秘密検出ツールを選択して、既存の秘密検出ツールを実証的に調査することで、秘密の露出を減らすことです。 方法:ベンチマークデータセットに対する5つのオープンソースと4つのプロプライエタリなツールの評価を行う。 結果: 精度に基づくツールのトップ3は、GitHub Secret Scanner (75%)、Gitleaks (46%)、Commercial X (25%)、リコールに基づくツールは、Gitleaks (88%)、SpectralOps (67%)、TruffleHog (52%)である。 報告された秘密を手作業で分析したところ,偽陽性は一般的な正規表現と非効率的なエントロピー計算によるものであることが明らかとなった。 対照的に偽陰性は正規表現の不備、特定のファイルタイプのスキップ、不十分なルールセットによるものである。 結論: 開発者は、プロジェクトのシークレットタイプに基づいたツールを選択して、行方不明のシークレットを防ぐことを推奨します。 さらに,ツールベンダによる検出ルールの定期的かつ正確な更新には,APIベンダとのコラボレーションによるシークレット検証機構の利用が推奨される。

関連論文リスト

• Secret Breach Prevention in Software Issue Reports [2.8747015994080285]
  本稿では,ソフトウェア問題報告における秘密漏洩検出のための新しい手法を提案する。 ログファイル、URL、コミットID、スタックトレース、ダミーパスワードなど、ノイズによって引き起こされる課題を強調します。 本稿では,最先端技術の強みと言語モデルの文脈的理解を組み合わせたアプローチを提案する。
  論文  参考訳（メタデータ） (2024-10-31T06:14:17Z)
• Understanding Code Understandability Improvements in Code Reviews [79.16476505761582]
  GitHub上のJavaオープンソースプロジェクトからの2,401のコードレビューコメントを分析した。 改善提案の83.9%が承認され、統合され、1%未満が後に復活した。
  論文  参考訳（メタデータ） (2024-10-29T12:21:23Z)
• Open-CD: A Comprehensive Toolbox for Change Detection [59.79011759027916]
  Open-CDは変更検出ツールボックスで、変更検出方法の豊富なセットと関連するコンポーネントとモジュールを含んでいる。 徐々に、多くの一般的な変更検出方法や同時代のモジュールをカバーする統一されたプラットフォームへと進化していく。
  論文  参考訳（メタデータ） (2024-07-22T01:04:16Z)
• Static Application Security Testing (SAST) Tools for Smart Contracts: How Far Are We? [14.974832502863526]
  近年,スマートコントラクトセキュリティの重要性が高まっている。 この問題に対処するため、スマートコントラクトの脆弱性を検出するために、多数の静的アプリケーションセキュリティテスト(SAST)ツールが提案されている。 本稿では,スマートコントラクトに対する45種類の脆弱性を含む,最新のきめ細かな分類法を提案する。
  論文  参考訳（メタデータ） (2024-04-28T13:40:18Z)
• AssetHarvester: A Static Analysis Tool for Detecting Secret-Asset Pairs in Software Artifacts [4.778835435164734]
  AssetHarvesterは、リポジトリ内のシークレットとアセスメントのペアを検出する静的解析ツールです。 AssetHarvesterの性能を評価するため、188のパブリックリポジトリから抽出した4種類のデータベースの1,791のシークレットアセスメントペアのベンチマークをキュレートした。 以上の結果から,AssetHarvesterにおけるデータフロー解析は,0%の偽陽性を有するシークレット・アセスメント・ペアを検出し,シークレット検出ツールのリコールの改善に有効であることが示唆された。
  論文  参考訳（メタデータ） (2024-03-28T00:24:49Z)
• A Systematic Evaluation of Automated Tools for Side-Channel Vulnerabilities Detection in Cryptographic Libraries [6.826526973994114]
  文献を調査し,34のサイドチャネル検出フレームワークの分類を行った。 次に、5つの有望な検出ツールの選択に基づいて、代表的な暗号操作のベンチマークを構築しました。 最近公開されたサイドチャネル脆弱性の分類を提供する。 既存のツールでは,SIMD命令のサポートの欠如,暗黙のフロー,内部シークレット生成など,さまざまな理由から脆弱性を見つけるのに苦労しています。
  論文  参考訳（メタデータ） (2023-10-12T09:18:26Z)
• Zero-Shot Detection of Machine-Generated Codes [83.0342513054389]
  本研究は,LLMの生成したコードを検出するためのトレーニング不要な手法を提案する。 既存のトレーニングベースまたはゼロショットテキスト検出装置は、コード検出に効果がないことがわかった。 本手法は,リビジョン攻撃に対する堅牢性を示し,Javaコードによく適応する。
  論文  参考訳（メタデータ） (2023-10-08T10:08:21Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)
• VulCurator: A Vulnerability-Fixing Commit Detector [8.32137934421055]
  VulCuratorは、より豊富な情報ソースでディープラーニングを活用するツールだ。 VulCuratorはF1スコアで最先端のベースラインを最大16.1%上回っている。
  論文  参考訳（メタデータ） (2022-09-07T16:11:31Z)
• Black-box Dataset Ownership Verification via Backdoor Watermarking [67.69308278379957]
  我々は、リリースデータセットの保護を、(目立たしい)サードパーティモデルのトレーニングに採用されているかどうかの検証として定式化する。 バックドアの透かしを通じて外部パターンを埋め込んでオーナシップの検証を行い,保護することを提案する。 具体的には、有毒なバックドア攻撃(例えばBadNets)をデータセットのウォーターマーキングに利用し、データセット検証のための仮説テストガイダンスメソッドを設計する。
  論文  参考訳（メタデータ） (2022-08-04T05:32:20Z)
• Open-sourced Dataset Protection via Backdoor Watermarking [87.15630326131901]
  本稿では,オープンソースの画像分類データセットを保護するために,Emphbackdoor Embeddingベースのデータセット透かし手法を提案する。 疑わしい第三者モデルによって生成される後続確率に基づいて,仮説テストガイド法を用いてデータセット検証を行う。
  論文  参考訳（メタデータ） (2020-10-12T16:16:27Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。