論文の概要: An Empirical Study on the Use of Static Analysis Tools in Open Source
Embedded Software
- arxiv url: http://arxiv.org/abs/2310.00205v1
- Date: Sat, 30 Sep 2023 00:49:55 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-23 05:25:54.914723
- Title: An Empirical Study on the Use of Static Analysis Tools in Open Source
Embedded Software
- Title(参考訳): オープンソース組込みソフトウェアにおける静的解析ツールの利用に関する実証的研究
- Authors: Mingjie Shen, Akul Pillai, Brian A. Yuan, James C. Davis, Aravind
Machiry
- Abstract要約: 本稿では,オープンソース組み込みソフトウェア(EMBOSS)レポジトリ上で静的アプリケーションセキュリティテスト(SAST)ツールの使用状況,課題,有効性を理解するための最初の研究を行う。
EMBOSSプロジェクトでは,リアルタイムオペレーティングシステムやネットワークスタック,アプリケーションなど,13の異なるカテゴリを対象として,258のコーパスを収集しています。
GitHubのCodeQLは最も効果的なSASTツールである。
- 参考スコア(独自算出の注目度): 5.486409382409338
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: This paper performs the first study to understand the prevalence, challenges,
and effectiveness of using Static Application Security Testing (SAST) tools on
Open-Source Embedded Software (EMBOSS) repositories. We collect a corpus of 258
of the most popular EMBOSS projects, representing 13 distinct categories such
as real-time operating systems, network stacks, and applications. To understand
the current use of SAST tools on EMBOSS, we measured this corpus and surveyed
developers. To understand the challenges and effectiveness of using SAST tools
on EMBOSS projects, we applied these tools to the projects in our corpus. We
report that almost none of these projects (just 3%) use SAST tools beyond those
baked into the compiler, and developers give rationales such as ineffectiveness
and false positives. In applying SAST tools ourselves, we show that minimal
engineering effort and project expertise are needed to apply many tools to a
given EMBOSS project. GitHub's CodeQL was the most effective SAST tool -- using
its built-in security checks we found a total of 540 defects (with a false
positive rate of 23%) across the 258 projects, with 399 (74%) likely security
vulnerabilities, including in projects maintained by Microsoft, Amazon, and the
Apache Foundation. EMBOSS engineers have confirmed 273 (51%) of these defects,
mainly by accepting our pull requests. Two CVEs were issued. In summary, we
urge EMBOSS engineers to adopt the current generation of SAST tools, which
offer low false positive rates and are effective at finding security-relevant
defects.
- Abstract(参考訳): 本稿では,オープンソース組み込みソフトウェア(EMBOSS)レポジトリ上で静的アプリケーションセキュリティテスト(SAST)ツールの使用状況,課題,有効性を理解するための最初の研究を行う。
EMBOSSプロジェクトでは,リアルタイムオペレーティングシステムやネットワークスタック,アプリケーションなど,13の異なるカテゴリを対象として,258のコーパスを収集しています。
EMBOSSでのSASTツールの使用状況を理解するため、このコーパスを測定し、開発者を調査した。
EMBOSSプロジェクトでSASTツールを使うことの課題と有効性を理解するため、これらのツールを私たちのコーパスのプロジェクトに適用した。
これらのプロジェクトのほとんど(わずか3%)がコンパイラに組み込まれたツール以外にSASTツールを使用しておらず、開発者は非効率性や偽陽性などの根拠を与えています。
SASTツール自体を適用する際には、与えられたEMBOSSプロジェクトに多くのツールを適用するためには、最小限のエンジニアリング労力とプロジェクトの専門知識が必要です。
GitHubのCodeQLは最も効果的なSASTツールで、ビルトインのセキュリティチェックを使用して、258プロジェクト全体で540の欠陥(偽陽性率23%)を発見しました。
EMBOSSのエンジニアは、これらの欠陥の273(51%)を、主にプルリクエストを受け入れることによって確認した。
2機のCVEが発行された。
要約すると、EMBOSSエンジニアには、偽陽性率を低くし、セキュリティ関連欠陥を見つけるのに効果的である、現在の世代のSASTツールを採用するよう促す。
関連論文リスト
- Static Application Security Testing (SAST) Tools for Smart Contracts: How Far Are We? [14.974832502863526]
近年,スマートコントラクトセキュリティの重要性が高まっている。
この問題に対処するため、スマートコントラクトの脆弱性を検出するために、多数の静的アプリケーションセキュリティテスト(SAST)ツールが提案されている。
本稿では,スマートコントラクトに対する45種類の脆弱性を含む,最新のきめ細かな分類法を提案する。
論文 参考訳(メタデータ) (2024-04-28T13:40:18Z) - Exploiting Library Vulnerability via Migration Based Automating Test
Generation [16.39796265296833]
ソフトウェア開発において、開発者は既存の機能を実装するのを避けるためにサードパーティのライブラリを幅広く利用する。
脆弱性のエクスプロイトは、公開後に脆弱性を再現するためのコードスニペットとして、豊富な脆弱性関連情報を含んでいる。
本研究は、開発者が依存関係を更新するかどうかを判断する基盤として脆弱性エクスプロイトテストを提供するVESTAと呼ばれる、脆弱性エクスプロイトに基づく新しい手法を提案する。
論文 参考訳(メタデータ) (2023-12-15T06:46:45Z) - SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。
SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。
我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
論文 参考訳(メタデータ) (2023-09-26T08:11:38Z) - Identifying the Risks of LM Agents with an LM-Emulated Sandbox [70.83306884808988]
言語モデル(LM)エージェントとツールは、豊富な機能セットを可能にすると同時に、潜在的なリスクを増幅する。
これらのエージェントを高いコストでテストすることは、高いリスクと長い尾のリスクを見つけるのをますます困難にします。
ツール実行をエミュレートするためにLMを使用し、さまざまなツールやシナリオに対してLMエージェントのテストを可能にするフレームワークであるToolEmuを紹介します。
ツールエミュレータと評価器の両方を人体評価によりテストし,ToolEmuで特定されたエラーの68.8%が実世界のエージェントの失敗であることを確認した。
論文 参考訳(メタデータ) (2023-09-25T17:08:02Z) - Using Machine Learning To Identify Software Weaknesses From Software
Requirement Specifications [49.1574468325115]
本研究は、要求仕様からソフトウェア弱点を特定するための効率的な機械学習アルゴリズムを見つけることに焦点を当てる。
ProMISE_exp. Naive Bayes、サポートベクターマシン(SVM)、決定木、ニューラルネットワーク、畳み込みニューラルネットワーク(CNN)アルゴリズムをテストした。
論文 参考訳(メタデータ) (2023-08-10T13:19:10Z) - "False negative -- that one is going to kill you": Understanding
Industry Perspectives of Static Analysis based Security Testing [16.827712447707203]
本稿では,SASTを利用する開発者が経験した仮定,期待,信念,課題について質的研究を行う。
私たちは、さまざまなソフトウェア開発の専門知識を持つ20人の実践者と、深く、半構造化されたインタビューを行います。
私たちは、SASTに関連する開発者の認識と欲求に光を当てた17ドルの重要な発見を特定します。
論文 参考訳(メタデータ) (2023-07-30T21:27:41Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z) - Large Language Models as Tool Makers [85.00361145117293]
我々はLLM A s Tool Makers (LATM) と呼ばれるクローズドループフレームワークを導入する。
ツール作成: 1 つのツール作成: LLM がタスクセットのためのツールを作成するツールメーカとして機能する 2 つのツール使用: 別の LLM がツールユーザとして機能し、ツールメーカが問題解決のために構築したツールを適用する。
論文 参考訳(メタデータ) (2023-05-26T17:50:11Z) - A Comprehensive Study on Quality Assurance Tools for Java [15.255117038871337]
品質保証(QA)ツールはますます注目を集めており、開発者に広く利用されている。
既存の研究は以下の方法で制限されている。
彼らは、スキャニングルール分析を考慮せずにツールを比較します。
研究方法論とベンチマークデータセットのため、ツールの有効性については意見が一致していない。
時間性能の分析に関する大規模な研究は行われていない。
論文 参考訳(メタデータ) (2023-05-26T10:48:02Z) - AIBugHunter: A Practical Tool for Predicting, Classifying and Repairing
Software Vulnerabilities [27.891905729536372]
AIBugHunterは、C/C++言語用のMLベースのソフトウェア脆弱性分析ツールで、Visual Studio Codeに統合されている。
本稿では,新たな多目的最適化(MOO)に基づく脆弱性分類手法と,AIBugHunterが脆弱性タイプを正確に識別し,重症度を推定するためのトランスフォーマーに基づく評価手法を提案する。
論文 参考訳(メタデータ) (2023-05-26T04:21:53Z) - Adversarial EXEmples: A Survey and Experimental Evaluation of Practical
Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。
我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。
これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
論文 参考訳(メタデータ) (2020-08-17T07:16:57Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。