論文の概要: "False negative -- that one is going to kill you": Understanding
Industry Perspectives of Static Analysis based Security Testing
- arxiv url: http://arxiv.org/abs/2307.16325v2
- Date: Tue, 1 Aug 2023 17:24:03 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-23 15:49:28.296545
- Title: "False negative -- that one is going to kill you": Understanding
Industry Perspectives of Static Analysis based Security Testing
- Title(参考訳): 「偽陰性 -- それはあなたを殺す」 - 静的解析に基づくセキュリティテストの業界展望の理解
- Authors: Amit Seal Ami and Kevin Moran and Denys Poshyvanyk and Adwait Nadkarni
- Abstract要約: 本稿では,SASTを利用する開発者が経験した仮定,期待,信念,課題について質的研究を行う。
私たちは、さまざまなソフトウェア開発の専門知識を持つ20人の実践者と、深く、半構造化されたインタビューを行います。
私たちは、SASTに関連する開発者の認識と欲求に光を当てた17ドルの重要な発見を特定します。
- 参考スコア(独自算出の注目度): 16.827712447707203
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: The demand for automated security analysis techniques, such as static
analysis based security testing (SAST) tools continues to increase. To develop
SASTs that are effectively leveraged by developers for finding vulnerabilities,
researchers and tool designers must understand how developers perceive, select,
and use SASTs, what they expect from the tools, whether they know of the
limitations of the tools, and how they address those limitations. This paper
describes a qualitative study that explores the assumptions, expectations,
beliefs, and challenges experienced by developers who use SASTs. We perform
in-depth, semi-structured interviews with 20 practitioners who possess a
diverse range of software development expertise, as well as a variety of unique
security, product, and organizational backgrounds. We identify $17$ key
findings that shed light on developer perceptions and desires related to SASTs,
and also expose gaps in the status quo - challenging long-held beliefs in SAST
design priorities. Finally, we provide concrete future directions for
researchers and practitioners rooted in an analysis of our findings.
- Abstract(参考訳): 静的分析ベースのセキュリティテスト(SAST)ツールなど,自動セキュリティ分析技術への需要は増加を続けている。
脆弱性を見つけるために開発者が効果的に活用するSASTを開発するためには、研究者とツールデザイナは、開発者がSASTをどのように認識し、選択し、使用しているか、ツールの制限を知っていようと、その制限にどう対処するかを理解する必要がある。
本稿では,SASTを利用する開発者が経験した仮定,期待,信念,課題について質的研究を行う。
私たちは、さまざまなソフトウェア開発の専門知識を持つ20人の実践者と、さまざまなセキュリティ、製品、組織的バックグラウンドを持つ、詳細な半構造化されたインタビューを行います。
我々は、SASTに関する開発者の認識と欲求に光を当てた17ドルの重要な発見を特定し、また、SAST設計の優先順位に対する長年の信念に挑戦する現状のギャップを露呈する。
最後に,研究成果の分析に根ざした研究者や実践者に,具体的な今後の方向性を提供する。
関連論文リスト
- New Emerged Security and Privacy of Pre-trained Model: a Survey and Outlook [54.24701201956833]
セキュリティとプライバシーの問題は、事前訓練されたモデルに対するユーザーの信頼を損なう。
現在の文献は、事前訓練されたモデルに対する攻撃と防御の明確な分類を欠いている。
この分類法は、攻撃と防御をNo-Change、Input-Change、Model-Changeアプローチに分類する。
論文 参考訳(メタデータ) (2024-11-12T10:15:33Z) - A Comprehensive Study on Static Application Security Testing (SAST) Tools for Android [22.558610938860124]
VulsTotalは、ツールがサポートする脆弱性タイプを定義し記述するための統合評価プラットフォームである。
我々は97のオプションのプールから11のオープンソースSASTツールを選択し、明確に定義された基準に従っています。
次に、Android SASTツールの一般/一般的な脆弱性タイプ67を統一します。
論文 参考訳(メタデータ) (2024-10-28T05:10:22Z) - Data Analysis in the Era of Generative AI [56.44807642944589]
本稿では,AIを活用したデータ分析ツールの可能性について考察する。
我々は、大規模言語とマルチモーダルモデルの出現が、データ分析ワークフローの様々な段階を強化する新しい機会を提供する方法について検討する。
次に、直感的なインタラクションを促進し、ユーザ信頼を構築し、AI支援分析ワークフローを複数のアプリにわたって合理化するための、人間中心の設計原則を調べます。
論文 参考訳(メタデータ) (2024-09-27T06:31:03Z) - Hacking, The Lazy Way: LLM Augmented Pentesting [0.0]
Pentest Copilot"というツールを使って"LLM Augmented Pentesting"をデモする
私たちの研究には、トークン使用の合理化とパフォーマンス向上のための"思考の連鎖"メカニズムが含まれています。
LLMがファイルの理解を可能にする新しいファイル解析手法を提案する。
論文 参考訳(メタデータ) (2024-09-14T17:40:35Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - A Qualitative Study on Using ChatGPT for Software Security: Perception vs. Practicality [1.7624347338410744]
ChatGPTは大きな言語モデル(LLM)であり、目覚ましい意味理解と精度で様々なタスクを実行できる。
本研究は,ソフトウェアセキュリティを支える新技術としてChatGPTの可能性を理解することを目的としている。
セキュリティ実践者は、ChatGPTを脆弱性検出、情報検索、侵入テストなど、さまざまなソフトウェアセキュリティタスクに有用であると判断した。
論文 参考訳(メタデータ) (2024-08-01T10:14:05Z) - Artificial Intelligence in Industry 4.0: A Review of Integration Challenges for Industrial Systems [45.31340537171788]
サイバー物理システム(CPS)は、予測保守や生産計画を含むアプリケーションに人工知能(AI)が活用できる膨大なデータセットを生成する。
AIの可能性を実証しているにもかかわらず、製造業のような分野に広く採用されていることは依然として限られている。
論文 参考訳(メタデータ) (2024-05-28T20:54:41Z) - Static Application Security Testing (SAST) Tools for Smart Contracts: How Far Are We? [14.974832502863526]
近年,スマートコントラクトセキュリティの重要性が高まっている。
この問題に対処するため、スマートコントラクトの脆弱性を検出するために、多数の静的アプリケーションセキュリティテスト(SAST)ツールが提案されている。
本稿では,スマートコントラクトに対する45種類の脆弱性を含む,最新のきめ細かな分類法を提案する。
論文 参考訳(メタデータ) (2024-04-28T13:40:18Z) - Exploiting Library Vulnerability via Migration Based Automating Test
Generation [16.39796265296833]
ソフトウェア開発において、開発者は既存の機能を実装するのを避けるためにサードパーティのライブラリを幅広く利用する。
脆弱性のエクスプロイトは、公開後に脆弱性を再現するためのコードスニペットとして、豊富な脆弱性関連情報を含んでいる。
本研究は、開発者が依存関係を更新するかどうかを判断する基盤として脆弱性エクスプロイトテストを提供するVESTAと呼ばれる、脆弱性エクスプロイトに基づく新しい手法を提案する。
論文 参考訳(メタデータ) (2023-12-15T06:46:45Z) - Purple Llama CyberSecEval: A Secure Coding Benchmark for Language Models [41.068780235482514]
本稿では,Large Language Models (LLMs) のプログラミングアシスタントとしてのサイバーセキュリティを促進するために開発された,包括的なベンチマークであるCyberSecEvalを提案する。
CyberSecEvalは、2つの重要なセキュリティ領域におけるLSMの徹底的な評価を提供する。
論文 参考訳(メタデータ) (2023-12-07T22:07:54Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。