論文の概要: An Investigation of Hardware Security Bug Characteristics in Open-Source Projects

• arxiv url: http://arxiv.org/abs/2402.00684v1
• Date: Thu, 1 Feb 2024 15:47:01 GMT
• ステータス: 処理完了
• システム内更新日: 2024-03-25 11:58:26.318434
• Title: An Investigation of Hardware Security Bug Characteristics in Open-Source Projects
• Title（参考訳）: オープンソースプロジェクトにおけるハードウェアセキュリティバグ特性の検討
• Authors: Joey Ah-kiow, Benjamin Tan,
• Abstract要約: 私たちは、バグレポートやバグ修正を含む、人気のあるOpenTitanプロジェクトについて深く掘り下げています。 バグを機能やセキュリティに関連するものとして手動で分類し、セキュリティバグの影響や位置といった特性を分析します。 その結果、OpenTitanのバグの53%が潜在的なセキュリティ上の影響があり、すべてのバグ修正の55%が1つのファイルだけを変更していることがわかった。
• 参考スコア（独自算出の注目度）: 4.526103806673449
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Hardware security is an important concern of system security as vulnerabilities can arise from design errors introduced throughout the development lifecycle. Recent works have proposed techniques to detect hardware security bugs, such as static analysis, fuzzing, and symbolic execution. However, the fundamental properties of hardware security bugs remain relatively unexplored. To gain a better understanding of hardware security bugs, we perform a deep dive into the popular OpenTitan project, including its bug reports and bug fixes. We manually classify the bugs as relevant to functionality or security and analyze characteristics, such as the impact and location of security bugs, and the size of their bug fixes. We also investigate relationships between security impact and bug management during development. Finally, we propose an abstract syntax tree-based analysis to identify the syntactic characteristics of bug fixes. Our results show that 53% of the bugs in OpenTitan have potential security implications and that 55% of all bug fixes modify only one file. Our findings underscore the importance of security-aware development practices and tools and motivate the development of techniques that leverage the highly localized nature of hardware bugs.
• Abstract（参考訳）: ハードウェアセキュリティは、開発ライフサイクルを通じて導入された設計エラーから脆弱性が発生する可能性があるため、システムセキュリティに対する重要な関心事である。 近年の研究では、静的解析、ファジィング、シンボリック実行など、ハードウェアセキュリティのバグを検出する技術が提案されている。 しかし、ハードウェアセキュリティのバグの基本的な特性は、まだ明らかにされていない。 ハードウェアセキュリティのバグをより深く理解するために、私たちは、バグレポートやバグ修正を含む、人気のあるOpenTitanプロジェクトの詳細調査を行っています。 私たちは手動でバグを機能やセキュリティに関連するものとして分類し、セキュリティバグの影響や位置、バグ修正のサイズなどの特徴を分析します。 また、開発中のセキュリティへの影響とバグ管理との関係についても検討する。 最後に,バグ修正の構文的特徴を特定するための抽象構文木解析を提案する。 その結果、OpenTitanのバグの53%が潜在的なセキュリティ上の影響があり、すべてのバグ修正の55%が1つのファイルだけを変更していることがわかった。 本研究は,セキュリティに配慮した開発プラクティスとツールの重要性を浮き彫りにして,高度に局所化されたハードウェアバグを利用した技術開発を動機づけるものである。

関連論文リスト

• Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
  Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。 35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。 ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
  論文  参考訳（メタデータ） (2024-11-12T01:55:51Z)
• Fixing Security Vulnerabilities with AI in OSS-Fuzz [9.730566646484304]
  OSS-Fuzzは、オープンソースシステムの継続的な検証のための最も重要で広く使用されているインフラである。 セキュリティ脆弱性を修正するために、よく知られたAutoCodeRoverエージェントをカスタマイズします。 OSS-Fuzz脆弱性データを用いた経験から,LSMエージェントの自律性はセキュリティパッチの成功に有用であることがわかった。
  論文  参考訳（メタデータ） (2024-11-03T16:20:32Z)
• Learning Graph-based Patch Representations for Identifying and Assessing Silent Vulnerability Fixes [5.983725940750908]
  ソフトウェアプロジェクトは多くのサードパーティのライブラリに依存しているため、リスクの高い脆弱性は依存関係チェーンを通じて下流のプロジェクトへと伝播する可能性がある。 無力な脆弱性修正は、ダウンストリームソフトウェアが緊急のセキュリティ問題にタイムリーに気付いておらず、ソフトウェアにセキュリティリスクを生じさせる。 本稿ではGRAphベースのパッチrEpresentationであるGRAPEを提案する。
  論文  参考訳（メタデータ） (2024-09-13T03:23:11Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• Yuga: Automatically Detecting Lifetime Annotation Bugs in the Rust Language [15.164423552903571]
  Rustプロジェクトでは、セキュリティ上の脆弱性が報告されている。 これらの脆弱性は、部分的には関数シグネチャの誤った終身アノテーションから生じます。 既存のツールはこれらのバグを検出するのに失敗する。 我々は,新たな静的解析ツールであるYugaを考案し,潜在的なライフタイムアノテーションのバグを検出する。
  論文  参考訳（メタデータ） (2023-10-12T17:05:03Z)
• Security Defect Detection via Code Review: A Study of the OpenStack and Qt Communities [7.2944322548786715]
  セキュリティ欠陥は、コードレビューでは議論されていない。 レビューの半数以上が、開発者がセキュリティ欠陥を修正するための明確な修正戦略/ソリューションを提供しています。 開発者とレビュアーの相違は、セキュリティ欠陥を解決しない主な原因である。
  論文  参考訳（メタデータ） (2023-07-05T14:30:41Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)
• ObjectSeeker: Certifiably Robust Object Detection against Patch Hiding Attacks via Patch-agnostic Masking [95.6347501381882]
  物体探知機は物理的世界のパッチ隠蔽攻撃に弱いことが判明した。 我々は,堅牢なオブジェクト検出器を構築するためのフレームワークとしてObjectSeekerを提案する。
  論文  参考訳（メタデータ） (2022-02-03T19:34:25Z)
• Early Detection of Security-Relevant Bug Reports using Machine Learning: How Far Are We? [6.438136820117887]
  典型的なメンテナンスシナリオでは、セキュリティ関連バグレポートは、修正パッチを作成する際に開発チームによって優先される。 オープンなセキュリティ関連バグレポートは、攻撃者がゼロデイ攻撃を実行するために活用できる機密情報の重大な漏洩になる可能性がある。 近年,機械学習に基づくセキュリティ関連バグレポートの検出手法が,有望な性能で報告されている。
  論文  参考訳（メタデータ） (2021-12-19T11:30:29Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)
• Autosploit: A Fully Automated Framework for Evaluating the Exploitability of Security Vulnerabilities [47.748732208602355]
  Autosploitは脆弱性の悪用性を評価するためのフレームワークだ。 環境の異なる設定でエクスプロイトを自動的にテストする。 ノイズレス環境とノイズの多い環境の両方で脆弱性を悪用する能力に影響を与えるシステムの特性を識別することができる。
  論文  参考訳（メタデータ） (2020-06-30T18:49:18Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。