論文の概要: A Closer Look at the Security Risks in the Rust Ecosystem

• arxiv url: http://arxiv.org/abs/2308.15046v1
• Date: Tue, 29 Aug 2023 06:05:25 GMT
• ステータス: 処理完了
• システム内更新日: 2023-10-23 12:15:00.693589
• Title: A Closer Look at the Security Risks in the Rust Ecosystem
• Title（参考訳）: Rustエコシステムにおけるセキュリティリスクの概観
• Authors: Xiaoye Zheng (1), Zhiyuan Wan (1), Yun Zhang (2), Rui Chang (1), David Lo (3) ((1) Zhejiang University, (2) Hangzhou City University, (3) Singapore Management University)
• Abstract要約: Rustは、システムソフトウェアの開発用に設計された新しいプログラミング言語である。 Rustコードの再利用を容易にするため、Rustエコシステムの中心的なパッケージレジストリであるcrates.ioでは、数千のサードパーティのRustパッケージがホストされている。 crates.ioのオープン性はRustエコシステムの成長を可能にするが、深刻なセキュリティアドバイザリによるセキュリティリスクも伴う。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Rust is an emerging programming language designed for the development of systems software. To facilitate the reuse of Rust code, crates.io, as a central package registry of the Rust ecosystem, hosts thousands of third-party Rust packages. The openness of crates.io enables the growth of the Rust ecosystem but comes with security risks by severe security advisories. Although Rust guarantees a software program to be safe via programming language features and strict compile-time checking, the unsafe keyword in Rust allows developers to bypass compiler safety checks for certain regions of code. Prior studies empirically investigate the memory safety and concurrency bugs in the Rust ecosystem, as well as the usage of unsafe keywords in practice. Nonetheless, the literature lacks a systematic investigation of the security risks in the Rust ecosystem. In this paper, we perform a comprehensive investigation into the security risks present in the Rust ecosystem, asking ``what are the characteristics of the vulnerabilities, what are the characteristics of the vulnerable packages, and how are the vulnerabilities fixed in practice?''. To facilitate the study, we first compile a dataset of 433 vulnerabilities, 300 vulnerable code repositories, and 218 vulnerability fix commits in the Rust ecosystem, spanning over 7 years. With the dataset, we characterize the types, life spans, and evolution of the disclosed vulnerabilities. We then characterize the popularity, categorization, and vulnerability density of the vulnerable Rust packages, as well as their versions and code regions affected by the disclosed vulnerabilities. Finally, we characterize the complexity of vulnerability fixes and localities of corresponding code changes, and inspect how practitioners fix vulnerabilities in Rust packages with various localities.
• Abstract（参考訳）: Rustは、システムソフトウェアの開発用に設計された新しいプログラミング言語である。 Rustコードの再利用を容易にするため、Rustエコシステムの中心的なパッケージレジストリであるcrates.ioでは、数千のサードパーティのRustパッケージがホストされている。 crates.ioのオープン性はRustエコシステムの成長を可能にするが、深刻なセキュリティアドバイザリによるセキュリティリスクも伴う。 rustは、プログラミング言語の機能と厳密なコンパイル時チェックを通じて、ソフトウェアプログラムの安全性を保証するが、rustのunsafeキーワードによって、開発者は特定のコード領域のコンパイラの安全性チェックをバイパスすることができる。 先行研究では、rustエコシステムにおけるメモリ安全性と並行性バグ、そして実際にはunsafeキーワードの使用について実証的に調査している。 それにもかかわらず、この文献はRustエコシステムのセキュリティリスクに関する体系的な調査を欠いている。 本稿では,Rustエコシステムに存在するセキュリティリスクを包括的に調査し,"脆弱性の特徴は何か,脆弱性パッケージの特徴は何か,脆弱性はどのように修正されているのか? 調査を容易にするために、まず、Rustエコシステムに433の脆弱性、300の脆弱性コードリポジトリ、および218の脆弱性修正コミットのデータセットをコンパイルしました。 データセットでは、開示された脆弱性のタイプ、寿命、進化を特徴付ける。 次に、脆弱なRustパッケージの人気、分類、脆弱性密度、そして、その脆弱性によって影響を受けるバージョンとコード領域を特徴付けます。 最後に、脆弱性修正の複雑さと対応するコード変更のローカリティを特徴付け、さまざまなローカリティを備えたRustパッケージの脆弱性の修正方法を調べます。

関連論文リスト

• Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
  Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。 35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。 ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
  論文  参考訳（メタデータ） (2024-11-12T01:55:51Z)
• Rusty Linux: Advances in Rust for Linux Kernel Development [0.0]
  Rustのカーネル開発への統合は、システムのセキュリティと信頼性の向上を目的とした変革的な取り組みである。 Rustがもたらすメリットを特定し、直面する課題を強調し、Rustの採用に関してコミュニティのコンセンサスの必要性を強調します。
  論文  参考訳（メタデータ） (2024-07-25T23:46:27Z)
• WildTeaming at Scale: From In-the-Wild Jailbreaks to (Adversarially) Safer Language Models [66.34505141027624]
  我々は、WildTeamingを紹介した。これは自動LLM安全リチームフレームワークで、Wild-Chatbotインタラクションをマイニングし、新しいジェイルブレイク戦術の5.7Kのユニークなクラスタを発見する。 WildTeamingは、未確認のフロンティアLSMの脆弱性を明らかにし、最大4.6倍の多様性と敵の攻撃に成功した。
  論文  参考訳（メタデータ） (2024-06-26T17:31:22Z)
• Characterizing Unsafe Code Encapsulation In Real-world Rust Systems [2.285834282327349]
  内部アンセーフは、システムソフトウェア開発においてRustコミュニティによって提唱される重要な設計パラダイムである。 Rustコンパイラは、安全でないコードを含む安全な関数の健全性を検証することができない。 安全でないコードの本質的な使用法とカプセル化をモデル化するための,新しいアンセーフティアイソレーショングラフを提案する。
  論文  参考訳（メタデータ） (2024-06-12T06:59:51Z)
• Bringing Rust to Safety-Critical Systems in Space [1.0742675209112622]
  Rustは、バグ導入の可能性を劇的に削減し、より安全で安全なコードを生成することを目的としている。 この作業は、Rustで安全クリティカルな宇宙システムを開発するための一連のレコメンデーションを提供する。
  論文  参考訳（メタデータ） (2024-05-28T12:48:47Z)
• Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
  ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。 我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
  論文  参考訳（メタデータ） (2024-05-03T07:18:45Z)
• Fixing Rust Compilation Errors using LLMs [2.1781086368581932]
  Rustプログラミング言語は、C/C++のような従来の安全でない代替言語よりも、低レベルのシステムプログラミング言語に実行可能な選択肢として、自らを確立している。 本稿では,Large Language Models(LLMs)の創発的機能を活用し,Rustコンパイルエラーの修正を自動的に提案するRustAssistantというツールを提案する。 RustAssistantは、人気のあるオープンソースRustリポジトリの実際のコンパイルエラーに対して、約74%の驚くべきピーク精度を達成することができる。
  論文  参考訳（メタデータ） (2023-08-09T18:30:27Z)
• Is unsafe an Achilles' Heel? A Comprehensive Study of Safety Requirements in Unsafe Rust Programming [4.981203415693332]
  Rustは、効率性とメモリ安全性を重視した、新しく、強く型付けされたプログラミング言語である。 標準ライブラリの現在の安全でないAPIドキュメントには、一貫性や不十分さなど、さまざまなバリエーションがあった。 Rustのセキュリティを強化するために、ユーザに従うべき安全要件の体系的な記述をリストアップするために、安全でないAPIドキュメントを提案する。
  論文  参考訳（メタデータ） (2023-08-09T08:16:10Z)
• CodeLMSec Benchmark: Systematically Evaluating and Finding Security Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
  自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。 これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。 この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
  論文  参考訳（メタデータ） (2023-02-08T11:54:07Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)
• Autosploit: A Fully Automated Framework for Evaluating the Exploitability of Security Vulnerabilities [47.748732208602355]
  Autosploitは脆弱性の悪用性を評価するためのフレームワークだ。 環境の異なる設定でエクスプロイトを自動的にテストする。 ノイズレス環境とノイズの多い環境の両方で脆弱性を悪用する能力に影響を与えるシステムの特性を識別することができる。
  論文  参考訳（メタデータ） (2020-06-30T18:49:18Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。