論文の概要: Security Defect Detection via Code Review: A Study of the OpenStack and Qt Communities

• arxiv url: http://arxiv.org/abs/2307.02326v1
• Date: Wed, 5 Jul 2023 14:30:41 GMT
• ステータス: 処理完了
• システム内更新日: 2023-10-23 18:14:34.134060
• Title: Security Defect Detection via Code Review: A Study of the OpenStack and Qt Communities
• Title（参考訳）: コードレビューによるセキュリティ欠陥検出: OpenStackとQtコミュニティの研究
• Authors: Jiaxin Yu, Liming Fu, Peng Liang, Amjed Tahir, Mojtaba Shahin
• Abstract要約: セキュリティ欠陥は、コードレビューでは議論されていない。 レビューの半数以上が、開発者がセキュリティ欠陥を修正するための明確な修正戦略/ソリューションを提供しています。 開発者とレビュアーの相違は、セキュリティ欠陥を解決しない主な原因である。
• 参考スコア（独自算出の注目度）: 7.2944322548786715
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Background: Despite the widespread use of automated security defect detection tools, software projects still contain many security defects that could result in serious damage. Such tools are largely context-insensitive and may not cover all possible scenarios in testing potential issues, which makes them susceptible to missing complex security defects. Hence, thorough detection entails a synergistic cooperation between these tools and human-intensive detection techniques, including code review. Code review is widely recognized as a crucial and effective practice for identifying security defects. Aim: This work aims to empirically investigate security defect detection through code review. Method: To this end, we conducted an empirical study by analyzing code review comments derived from four projects in the OpenStack and Qt communities. Through manually checking 20,995 review comments obtained by keyword-based search, we identified 614 comments as security-related. Results: Our results show that (1) security defects are not prevalently discussed in code review, (2) more than half of the reviewers provided explicit fixing strategies/solutions to help developers fix security defects, (3) developers tend to follow reviewers' suggestions and action the changes, (4) Not worth fixing the defect now and Disagreement between the developer and the reviewer are the main causes for not resolving security defects. Conclusions: Our research results demonstrate that (1) software security practices should combine manual code review with automated detection tools, achieving a more comprehensive coverage to identifying and addressing security defects, and (2) promoting appropriate standardization of practitioners' behaviors during code review remains necessary for enhancing software security.
• Abstract（参考訳）: 背景: 自動セキュリティ欠陥検出ツールが広く使用されているにもかかわらず、ソフトウェアプロジェクトには深刻な損害をもたらす可能性のある多くのセキュリティ欠陥が含まれている。 このようなツールは、主にコンテキストに敏感であり、潜在的な問題をテストする際のすべてのシナリオをカバーしていない可能性がある。 したがって、徹底的な検出は、これらのツールとコードレビューを含む人間集約的な検出技術との相乗的協力を必要とする。 コードレビューは、セキュリティ欠陥を特定するための重要かつ効果的なプラクティスとして広く認識されている。 目的: この研究は、コードレビューを通じてセキュリティ欠陥の検出を実証的に調査することを目的としています。 方法: この目的のために,OpenStackコミュニティとQtコミュニティの4つのプロジェクトから得られたコードレビューコメントを分析し,実証的研究を行った。 キーワードベースの検索で得られた20,995件のレビューコメントを手動でチェックすることで、614件のコメントをセキュリティ関連と同定した。 結果:(1) コードレビューではセキュリティ欠陥が広く議論されていないこと,(2) 開発者がセキュリティ欠陥を修正するのを助けるために,リビュアーの半分以上が明示的な修正戦略/ソリューションを提供し,(3) 開発者はレビュアーの提案と変更の行動に従う傾向,(4) 欠陥を修正する価値がないこと,そして、レビュアーとレビュアーの間の不一致がセキュリティ欠陥を解決しない主な原因であることが示された。 結論:本研究の結果は,(1)手動コードレビューと自動検出ツールを組み合わせること,(2)セキュリティ欠陥の特定と対処を包括的にカバーすること,(2)コードレビュー中の実践者の行動の適切な標準化の促進が,ソフトウェアセキュリティの強化に不可欠であることを実証する。

関連論文リスト

• Fixing Security Vulnerabilities with AI in OSS-Fuzz [9.730566646484304]
  OSS-Fuzzは、オープンソースシステムの継続的な検証のための最も重要で広く使用されているインフラである。 セキュリティ脆弱性を修正するために、よく知られたAutoCodeRoverエージェントをカスタマイズします。 OSS-Fuzz脆弱性データを用いた経験から,LSMエージェントの自律性はセキュリティパッチの成功に有用であることがわかった。
  論文  参考訳（メタデータ） (2024-11-03T16:20:32Z)
• Understanding Code Understandability Improvements in Code Reviews [79.16476505761582]
  GitHub上のJavaオープンソースプロジェクトからの2,401のコードレビューコメントを分析した。 改善提案の83.9%が承認され、統合され、1%未満が後に復活した。
  論文  参考訳（メタデータ） (2024-10-29T12:21:23Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• Trust, but Verify: Evaluating Developer Behavior in Mitigating Security Vulnerabilities in Open-Source Software Projects [0.11999555634662631]
  本研究では,オープンソースソフトウェア(OSS)プロジェクトの依存関係の脆弱性について検討する。 古い依存関係やメンテナンスされていない依存関係に共通する問題を特定しました。 その結果, 直接的な依存関係の削減と, 強力なセキュリティ記録を持つ高度に確立されたライブラリの優先順位付けが, ソフトウェアセキュリティの状況を改善する効果的な戦略であることが示唆された。
  論文  参考訳（メタデータ） (2024-08-26T13:46:48Z)
• An Insight into Security Code Review with LLMs: Capabilities, Obstacles and Influential Factors [9.309745288471374]
  セキュリティコードレビューは時間と労力を要するプロセスです。 既存のセキュリティ分析ツールは、一般化の貧弱、偽陽性率の高い、粗い検出粒度に悩まされている。 大きな言語モデル(LLM)は、これらの課題に対処するための有望な候補と考えられている。
  論文  参考訳（メタデータ） (2024-01-29T17:13:44Z)
• Toward Effective Secure Code Reviews: An Empirical Study of Security-Related Coding Weaknesses [14.134803943492345]
  我々は OpenSSL と PHP の2つの大規模オープンソースプロジェクトで実証的なケーススタディを行った。 135,560のコードレビューコメントに基づいて、40のコーディング弱点カテゴリのうち35に、レビュー担当者がセキュリティ上の懸念を提起していることが分かりました。 メモリエラーやリソース管理といった過去の脆弱性に関連するコーディングの弱点は、脆弱性よりも少ない頻度で議論された。
  論文  参考訳（メタデータ） (2023-11-28T00:49:00Z)
• A Novel Approach to Identify Security Controls in Source Code [4.598579706242066]
  本稿では,一般的なセキュリティ制御の包括的リストを列挙し,それぞれにデータセットを作成する。 最新のNLP技術であるBERT(Bidirectional Representations from Transformers)とTactic Detector(Tactic Detector)を使って、セキュリティコントロールを高い信頼性で識別できることを示しています。
  論文  参考訳（メタデータ） (2023-07-10T21:14:39Z)
• DeepfakeBench: A Comprehensive Benchmark of Deepfake Detection [55.70982767084996]
  ディープフェイク検出の分野で見落とされがちな課題は、標準化され、統一され、包括的なベンチマークがないことである。 DeepfakeBenchと呼ばれる,3つの重要なコントリビューションを提供するディープフェイク検出のための,最初の包括的なベンチマークを提示する。 DeepfakeBenchには15の最先端検出方法、9CLデータセット、一連のDeepfake検出評価プロトコルと分析ツール、包括的な評価ツールが含まれている。
  論文  参考訳（メタデータ） (2023-07-04T01:34:41Z)
• Pre-trained Encoders in Self-Supervised Learning Improve Secure and Privacy-preserving Supervised Learning [63.45532264721498]
  自己教師付き学習は、ラベルのないデータを使ってエンコーダを事前訓練するための新しいテクニックである。 我々は、事前訓練されたエンコーダがセキュア・プライバシ保護型学習アルゴリズムの限界に対処できるかどうかを理解するための、最初の体系的、原則的な測定研究を行う。
  論文  参考訳（メタデータ） (2022-12-06T21:35:35Z)
• Towards a Fair Comparison and Realistic Design and Evaluation Framework of Android Malware Detectors [63.75363908696257]
  一般的な評価フレームワークを用いて,Androidのマルウェア検出に関する10の研究成果を分析した。 データセットの作成やデザイナの設計に考慮しない場合、トレーニングされたMLモデルに大きく影響する5つの要因を特定します。 その結果,MLに基づく検出器は楽観的に評価され,良好な結果が得られた。
  論文  参考訳（メタデータ） (2022-05-25T08:28:08Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。