論文の概要: "False negative -- that one is going to kill you": Understanding
Industry Perspectives of Static Analysis based Security Testing
- arxiv url: http://arxiv.org/abs/2307.16325v2
- Date: Tue, 1 Aug 2023 17:24:03 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-23 15:49:28.296545
- Title: "False negative -- that one is going to kill you": Understanding
Industry Perspectives of Static Analysis based Security Testing
- Title(参考訳): 「偽陰性 -- それはあなたを殺す」 - 静的解析に基づくセキュリティテストの業界展望の理解
- Authors: Amit Seal Ami and Kevin Moran and Denys Poshyvanyk and Adwait Nadkarni
- Abstract要約: 本稿では,SASTを利用する開発者が経験した仮定,期待,信念,課題について質的研究を行う。
私たちは、さまざまなソフトウェア開発の専門知識を持つ20人の実践者と、深く、半構造化されたインタビューを行います。
私たちは、SASTに関連する開発者の認識と欲求に光を当てた17ドルの重要な発見を特定します。
- 参考スコア(独自算出の注目度): 16.827712447707203
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: The demand for automated security analysis techniques, such as static
analysis based security testing (SAST) tools continues to increase. To develop
SASTs that are effectively leveraged by developers for finding vulnerabilities,
researchers and tool designers must understand how developers perceive, select,
and use SASTs, what they expect from the tools, whether they know of the
limitations of the tools, and how they address those limitations. This paper
describes a qualitative study that explores the assumptions, expectations,
beliefs, and challenges experienced by developers who use SASTs. We perform
in-depth, semi-structured interviews with 20 practitioners who possess a
diverse range of software development expertise, as well as a variety of unique
security, product, and organizational backgrounds. We identify $17$ key
findings that shed light on developer perceptions and desires related to SASTs,
and also expose gaps in the status quo - challenging long-held beliefs in SAST
design priorities. Finally, we provide concrete future directions for
researchers and practitioners rooted in an analysis of our findings.
- Abstract(参考訳): 静的分析ベースのセキュリティテスト(SAST)ツールなど,自動セキュリティ分析技術への需要は増加を続けている。
脆弱性を見つけるために開発者が効果的に活用するSASTを開発するためには、研究者とツールデザイナは、開発者がSASTをどのように認識し、選択し、使用しているか、ツールの制限を知っていようと、その制限にどう対処するかを理解する必要がある。
本稿では,SASTを利用する開発者が経験した仮定,期待,信念,課題について質的研究を行う。
私たちは、さまざまなソフトウェア開発の専門知識を持つ20人の実践者と、さまざまなセキュリティ、製品、組織的バックグラウンドを持つ、詳細な半構造化されたインタビューを行います。
我々は、SASTに関する開発者の認識と欲求に光を当てた17ドルの重要な発見を特定し、また、SAST設計の優先順位に対する長年の信念に挑戦する現状のギャップを露呈する。
最後に,研究成果の分析に根ざした研究者や実践者に,具体的な今後の方向性を提供する。
関連論文リスト
- A Survey on Personalized Content Synthesis with Diffusion Models [57.01364199734464]
PCSは、特定のユーザ定義のプロンプトに対する関心の主題をカスタマイズすることを目的としている。
過去2年間で150以上の方法が提案されている。
本稿では,PCSの拡散モデルに着目した包括的調査を行う。
論文 参考訳(メタデータ) (2024-05-09T04:36:04Z) - Static Application Security Testing (SAST) Tools for Smart Contracts: How Far Are We? [14.974832502863526]
近年,スマートコントラクトセキュリティの重要性が高まっている。
この問題に対処するため、スマートコントラクトの脆弱性を検出するために、多数の静的アプリケーションセキュリティテスト(SAST)ツールが提案されている。
本稿では,スマートコントラクトに対する45種類の脆弱性を含む,最新のきめ細かな分類法を提案する。
論文 参考訳(メタデータ) (2024-04-28T13:40:18Z) - Testing autonomous vehicles and AI: perspectives and challenges from cybersecurity, transparency, robustness and fairness [53.91018508439669]
この研究は、人工知能を自律走行車(AV)に統合する複雑さを探求する
AIコンポーネントがもたらした課題と、テスト手順への影響を調べます。
本稿は、重要な課題を特定し、AV技術におけるAIの研究・開発に向けた今後の方向性を提案する。
論文 参考訳(メタデータ) (2024-02-21T08:29:42Z) - What Can Self-Admitted Technical Debt Tell Us About Security? A
Mixed-Methods Study [6.286506087629511]
自己充足型技術的負債(SATD)
潜在的に悪用可能な脆弱性や セキュリティ上の欠陥に関する 恐ろしい情報源と見なすことができます
本研究は、SATDのセキュリティへの影響を、技術と開発者中心の観点から検討する。
論文 参考訳(メタデータ) (2024-01-23T13:48:49Z) - Exploiting Library Vulnerability via Migration Based Automating Test
Generation [16.39796265296833]
ソフトウェア開発において、開発者は既存の機能を実装するのを避けるためにサードパーティのライブラリを幅広く利用する。
脆弱性のエクスプロイトは、公開後に脆弱性を再現するためのコードスニペットとして、豊富な脆弱性関連情報を含んでいる。
本研究は、開発者が依存関係を更新するかどうかを判断する基盤として脆弱性エクスプロイトテストを提供するVESTAと呼ばれる、脆弱性エクスプロイトに基づく新しい手法を提案する。
論文 参考訳(メタデータ) (2023-12-15T06:46:45Z) - AIBugHunter: A Practical Tool for Predicting, Classifying and Repairing
Software Vulnerabilities [27.891905729536372]
AIBugHunterは、C/C++言語用のMLベースのソフトウェア脆弱性分析ツールで、Visual Studio Codeに統合されている。
本稿では,新たな多目的最適化(MOO)に基づく脆弱性分類手法と,AIBugHunterが脆弱性タイプを正確に識別し,重症度を推定するためのトランスフォーマーに基づく評価手法を提案する。
論文 参考訳(メタデータ) (2023-05-26T04:21:53Z) - Towards Safer Generative Language Models: A Survey on Safety Risks,
Evaluations, and Improvements [76.80453043969209]
本調査では,大規模モデルに関する安全研究の枠組みについて述べる。
まず、広範囲にわたる安全問題を導入し、その後、大型モデルの安全性評価手法を掘り下げる。
トレーニングからデプロイメントまで,大規模なモデルの安全性を高めるための戦略について検討する。
論文 参考訳(メタデータ) (2023-02-18T09:32:55Z) - Semantic Similarity-Based Clustering of Findings From Security Testing
Tools [1.6058099298620423]
特に、複数の観点からソフトウェアアーチファクトを検査した後、レポートを生成する自動セキュリティテストツールを使用するのが一般的である。
これらの重複した発見を手動で識別するには、セキュリティ専門家は時間、努力、知識といったリソースを投資する必要がある。
本研究では,意味論的に類似したセキュリティ発見のクラスタリングに自然言語処理を適用する可能性について検討した。
論文 参考訳(メタデータ) (2022-11-20T19:03:19Z) - Inspect, Understand, Overcome: A Survey of Practical Methods for AI
Safety [54.478842696269304]
安全クリティカルなアプリケーションにディープニューラルネットワーク(DNN)を使用することは、多数のモデル固有の欠点のために困難です。
近年,これらの安全対策を目的とした最先端技術動物園が出現している。
本稿は、機械学習の専門家と安全エンジニアの両方に対処する。
論文 参考訳(メタデータ) (2021-04-29T09:54:54Z) - Artificial Intelligence for IT Operations (AIOPS) Workshop White Paper [50.25428141435537]
AIOps(Artificial Intelligence for IT Operations)は、マシンラーニング、ビッグデータ、ストリーミング分析、IT運用管理の交差点で発生する、新たな学際分野である。
AIOPSワークショップの主な目的は、アカデミアと産業界の両方の研究者が集まり、この分野での経験、成果、作業について発表することです。
論文 参考訳(メタデータ) (2021-01-15T10:43:10Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。