論文の概要: Security Defect Detection via Code Review: A Study of the OpenStack and
Qt Communities
- arxiv url: http://arxiv.org/abs/2307.02326v1
- Date: Wed, 5 Jul 2023 14:30:41 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-23 18:14:34.134060
- Title: Security Defect Detection via Code Review: A Study of the OpenStack and
Qt Communities
- Title(参考訳): コードレビューによるセキュリティ欠陥検出: OpenStackとQtコミュニティの研究
- Authors: Jiaxin Yu, Liming Fu, Peng Liang, Amjed Tahir, Mojtaba Shahin
- Abstract要約: セキュリティ欠陥は、コードレビューでは議論されていない。
レビューの半数以上が、開発者がセキュリティ欠陥を修正するための明確な修正戦略/ソリューションを提供しています。
開発者とレビュアーの相違は、セキュリティ欠陥を解決しない主な原因である。
- 参考スコア(独自算出の注目度): 7.2944322548786715
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Background: Despite the widespread use of automated security defect detection
tools, software projects still contain many security defects that could result
in serious damage. Such tools are largely context-insensitive and may not cover
all possible scenarios in testing potential issues, which makes them
susceptible to missing complex security defects. Hence, thorough detection
entails a synergistic cooperation between these tools and human-intensive
detection techniques, including code review. Code review is widely recognized
as a crucial and effective practice for identifying security defects. Aim: This
work aims to empirically investigate security defect detection through code
review. Method: To this end, we conducted an empirical study by analyzing code
review comments derived from four projects in the OpenStack and Qt communities.
Through manually checking 20,995 review comments obtained by keyword-based
search, we identified 614 comments as security-related. Results: Our results
show that (1) security defects are not prevalently discussed in code review,
(2) more than half of the reviewers provided explicit fixing
strategies/solutions to help developers fix security defects, (3) developers
tend to follow reviewers' suggestions and action the changes, (4) Not worth
fixing the defect now and Disagreement between the developer and the reviewer
are the main causes for not resolving security defects. Conclusions: Our
research results demonstrate that (1) software security practices should
combine manual code review with automated detection tools, achieving a more
comprehensive coverage to identifying and addressing security defects, and (2)
promoting appropriate standardization of practitioners' behaviors during code
review remains necessary for enhancing software security.
- Abstract(参考訳): 背景: 自動セキュリティ欠陥検出ツールが広く使用されているにもかかわらず、ソフトウェアプロジェクトには深刻な損害をもたらす可能性のある多くのセキュリティ欠陥が含まれている。
このようなツールは、主にコンテキストに敏感であり、潜在的な問題をテストする際のすべてのシナリオをカバーしていない可能性がある。
したがって、徹底的な検出は、これらのツールとコードレビューを含む人間集約的な検出技術との相乗的協力を必要とする。
コードレビューは、セキュリティ欠陥を特定するための重要かつ効果的なプラクティスとして広く認識されている。
目的: この研究は、コードレビューを通じてセキュリティ欠陥の検出を実証的に調査することを目的としています。
方法: この目的のために,OpenStackコミュニティとQtコミュニティの4つのプロジェクトから得られたコードレビューコメントを分析し,実証的研究を行った。
キーワードベースの検索で得られた20,995件のレビューコメントを手動でチェックすることで、614件のコメントをセキュリティ関連と同定した。
結果:(1) コードレビューではセキュリティ欠陥が広く議論されていないこと,(2) 開発者がセキュリティ欠陥を修正するのを助けるために,リビュアーの半分以上が明示的な修正戦略/ソリューションを提供し,(3) 開発者はレビュアーの提案と変更の行動に従う傾向,(4) 欠陥を修正する価値がないこと,そして、レビュアーとレビュアーの間の不一致がセキュリティ欠陥を解決しない主な原因であることが示された。
結論:本研究の結果は,(1)手動コードレビューと自動検出ツールを組み合わせること,(2)セキュリティ欠陥の特定と対処を包括的にカバーすること,(2)コードレビュー中の実践者の行動の適切な標準化の促進が,ソフトウェアセキュリティの強化に不可欠であることを実証する。
関連論文リスト
- Fixing Smart Contract Vulnerabilities: A Comparative Analysis of
Literature and Developer's Practices [6.09162202256218]
文献で見られるような脆弱性の修正をガイドラインとして挙げる。
開発者がこれらのガイドラインにどの程度準拠しているか、あるいは他の実行可能な共通ソリューションがあるのか、それらが何であるかは明らかではない。
本研究の目的は,開発者が既存のガイドラインを遵守することに関連する知識ギャップを埋めることと,セキュリティ脆弱性に対する新たな,実行可能なソリューションを提案することである。
論文 参考訳(メタデータ) (2024-03-12T09:55:54Z) - Security Code Review by Large Language Models [9.309745288471374]
セキュリティコードレビューにおいて、LLM(Large Language Models)の機能を理解するための最初の実証的研究を行う。
5つの異なるプロンプト下での6つのLLMの性能と,セキュリティ欠陥を検出し解析するための最先端の静的解析ツールを比較した。
優れたLLMを実現するために,我々は言語学的解析を行い,その応答における品質問題について検討した。
論文 参考訳(メタデータ) (2024-01-29T17:13:44Z) - What Can Self-Admitted Technical Debt Tell Us About Security? A
Mixed-Methods Study [6.286506087629511]
自己充足型技術的負債(SATD)
潜在的に悪用可能な脆弱性や セキュリティ上の欠陥に関する 恐ろしい情報源と見なすことができます
本研究は、SATDのセキュリティへの影響を、技術と開発者中心の観点から検討する。
論文 参考訳(メタデータ) (2024-01-23T13:48:49Z) - A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。
本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。
実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
論文 参考訳(メタデータ) (2024-01-19T14:52:04Z) - Toward Effective Secure Code Reviews: An Empirical Study of Security-Related Coding Weaknesses [14.134803943492345]
我々は OpenSSL と PHP の2つの大規模オープンソースプロジェクトで実証的なケーススタディを行った。
135,560のコードレビューコメントに基づいて、40のコーディング弱点カテゴリのうち35に、レビュー担当者がセキュリティ上の懸念を提起していることが分かりました。
メモリエラーやリソース管理といった過去の脆弱性に関連するコーディングの弱点は、脆弱性よりも少ない頻度で議論された。
論文 参考訳(メタデータ) (2023-11-28T00:49:00Z) - A Novel Approach to Identify Security Controls in Source Code [4.598579706242066]
本稿では,一般的なセキュリティ制御の包括的リストを列挙し,それぞれにデータセットを作成する。
最新のNLP技術であるBERT(Bidirectional Representations from Transformers)とTactic Detector(Tactic Detector)を使って、セキュリティコントロールを高い信頼性で識別できることを示しています。
論文 参考訳(メタデータ) (2023-07-10T21:14:39Z) - DeepfakeBench: A Comprehensive Benchmark of Deepfake Detection [55.70982767084996]
ディープフェイク検出の分野で見落とされがちな課題は、標準化され、統一され、包括的なベンチマークがないことである。
DeepfakeBenchと呼ばれる,3つの重要なコントリビューションを提供するディープフェイク検出のための,最初の包括的なベンチマークを提示する。
DeepfakeBenchには15の最先端検出方法、9CLデータセット、一連のDeepfake検出評価プロトコルと分析ツール、包括的な評価ツールが含まれている。
論文 参考訳(メタデータ) (2023-07-04T01:34:41Z) - CodeLMSec Benchmark: Systematically Evaluating and Finding Security
Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。
これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。
この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
論文 参考訳(メタデータ) (2023-02-08T11:54:07Z) - Pre-trained Encoders in Self-Supervised Learning Improve Secure and
Privacy-preserving Supervised Learning [63.45532264721498]
自己教師付き学習は、ラベルのないデータを使ってエンコーダを事前訓練するための新しいテクニックである。
我々は、事前訓練されたエンコーダがセキュア・プライバシ保護型学習アルゴリズムの限界に対処できるかどうかを理解するための、最初の体系的、原則的な測定研究を行う。
論文 参考訳(メタデータ) (2022-12-06T21:35:35Z) - Towards a Fair Comparison and Realistic Design and Evaluation Framework
of Android Malware Detectors [63.75363908696257]
一般的な評価フレームワークを用いて,Androidのマルウェア検出に関する10の研究成果を分析した。
データセットの作成やデザイナの設計に考慮しない場合、トレーニングされたMLモデルに大きく影響する5つの要因を特定します。
その結果,MLに基づく検出器は楽観的に評価され,良好な結果が得られた。
論文 参考訳(メタデータ) (2022-05-25T08:28:08Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。