論文の概要: Fixing Smart Contract Vulnerabilities: A Comparative Analysis of
Literature and Developer's Practices
- arxiv url: http://arxiv.org/abs/2403.07458v1
- Date: Tue, 12 Mar 2024 09:55:54 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-13 22:12:15.680174
- Title: Fixing Smart Contract Vulnerabilities: A Comparative Analysis of
Literature and Developer's Practices
- Title(参考訳): スマートコントラクト脆弱性の修正:文学と開発者の実践の比較分析
- Authors: Francesco Salzano, Simone Scalabrino, Rocco Oliveto and Remo Pareschi
- Abstract要約: 文献で見られるような脆弱性の修正をガイドラインとして挙げる。
開発者がこれらのガイドラインにどの程度準拠しているか、あるいは他の実行可能な共通ソリューションがあるのか、それらが何であるかは明らかではない。
本研究の目的は,開発者が既存のガイドラインを遵守することに関連する知識ギャップを埋めることと,セキュリティ脆弱性に対する新たな,実行可能なソリューションを提案することである。
- 参考スコア(独自算出の注目度): 6.09162202256218
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Smart Contracts are programs running logic in the Blockchain network by
executing operations through immutable transactions. The Blockchain network
validates such transactions, storing them into sequential blocks of which
integrity is ensured. Smart Contracts deal with value stakes, if a damaging
transaction is validated, it may never be reverted, leading to unrecoverable
losses. To prevent this, security aspects have been explored in several fields,
with research providing catalogs of security defects, secure code
recommendations, and possible solutions to fix vulnerabilities. In our study,
we refer to vulnerability fixing in the ways found in the literature as
guidelines. However, it is not clear to what extent developers adhere to these
guidelines, nor whether there are other viable common solutions and what they
are. The goal of our research is to fill knowledge gaps related to developers'
observance of existing guidelines and to propose new and viable solutions to
security vulnerabilities. To reach our goal, we will obtain from Solidity
GitHub repositories the commits that fix vulnerabilities included in the DASP
TOP 10 and we will conduct a manual analysis of fixing approaches employed by
developers. Our analysis aims to determine the extent to which literature-based
fixing strategies are followed. Additionally, we will identify and discuss
emerging fixing techniques not currently documented in the literature. Through
qualitative analysis, we will evaluate the suitability of these new fixing
solutions and discriminate between valid approaches and potential mistakes.
- Abstract(参考訳): Smart Contractsは、不変トランザクションによる操作を実行することによって、ブロックチェーンネットワークでロジックを実行するプログラムである。
Blockchainネットワークはそのようなトランザクションを検証し、整合性を保証するシーケンシャルなブロックに格納する。
スマートコントラクトはバリューステークを扱うが、損傷のあるトランザクションが検証された場合、決してリターンされない可能性がある。
これを防ぐため、セキュリティの側面はいくつかの分野で検討されており、セキュリティ欠陥のカタログ、セキュアなコードレコメンデーション、脆弱性を修正するためのソリューションが研究されている。
本研究では,文献に見られる脆弱性の修正をガイドラインとして言及する。
しかし、開発者がこれらのガイドラインにどの程度準拠しているか、他の実行可能な共通ソリューションがあるのか、それらが何であるかは、はっきりしない。
私たちの研究の目標は、開発者が既存のガイドラインを遵守することに関連する知識のギャップを埋め、セキュリティ脆弱性に対する新しい実行可能なソリューションを提案することです。
目標を達成するために、私たちはsolidity githubリポジトリから、dasp top 10に含まれる脆弱性を修正するコミットを取得します。
本分析は,文献ベースの定着戦略がどの程度続くかを明らかにすることを目的とする。
また,現在文献に記載されていない新たな定着手法の特定と議論を行う。
質的分析を通じて,これらの新しい固定ソリューションの適合性を評価し,有効なアプローチと潜在的な誤りを判別する。
関連論文リスト
- What Can Self-Admitted Technical Debt Tell Us About Security? A
Mixed-Methods Study [6.286506087629511]
自己充足型技術的負債(SATD)
潜在的に悪用可能な脆弱性や セキュリティ上の欠陥に関する 恐ろしい情報源と見なすことができます
本研究は、SATDのセキュリティへの影響を、技術と開発者中心の観点から検討する。
論文 参考訳(メタデータ) (2024-01-23T13:48:49Z) - Causative Insights into Open Source Software Security using Large
Language Code Embeddings and Semantic Vulnerability Graph [3.623199159688412]
オープンソースソフトウェア(OSS)の脆弱性は、不正アクセス、データ漏洩、ネットワーク障害、プライバシー侵害を引き起こす可能性がある。
最近のディープラーニング技術は、ソースコードの脆弱性を特定し、ローカライズする上で大きな可能性を示しています。
本研究は,従来の方法に比べてコード修復能力が24%向上したことを示す。
論文 参考訳(メタデータ) (2024-01-13T10:33:22Z) - CONTRACTFIX: A Framework for Automatically Fixing Vulnerabilities in
Smart Contracts [12.68736241704817]
ContractFixは、脆弱なスマートコントラクトのためのセキュリティパッチを自動的に生成するフレームワークである。
ユーザーは、自動的にパッチを適用し、パッチされたコントラクトを検証するセキュリティ修正ツールとして使用することができる。
論文 参考訳(メタデータ) (2023-07-18T01:14:31Z) - Online Safety Property Collection and Refinement for Safe Deep
Reinforcement Learning in Mapless Navigation [79.89605349842569]
オンラインプロパティのコレクション・リファインメント(CROP)フレームワークをトレーニング時にプロパティを設計するために導入する。
CROPは、安全でない相互作用を識別し、安全特性を形成するためにコストシグナルを使用する。
本手法をいくつかのロボットマップレスナビゲーションタスクで評価し,CROPで計算した違反量によって,従来のSafe DRL手法よりも高いリターンと低いリターンが得られることを示す。
論文 参考訳(メタデータ) (2023-02-13T21:19:36Z) - CodeLMSec Benchmark: Systematically Evaluating and Finding Security
Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。
これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。
この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
論文 参考訳(メタデータ) (2023-02-08T11:54:07Z) - An Automated Vulnerability Detection Framework for Smart Contracts [18.758795474791427]
ブロックチェーン上のスマートコントラクトの脆弱性を自動的に検出するフレームワークを提案する。
具体的には、まず、スマートコントラクトのバイトコードから新しい特徴ベクトル生成技術を利用する。
次に、収集したベクトルを新しいメトリック学習ベースディープニューラルネットワーク(DNN)に入力し、検出結果を得る。
論文 参考訳(メタデータ) (2023-01-20T23:16:04Z) - Pre-deployment Analysis of Smart Contracts -- A Survey [0.27195102129095]
本稿では,スマートコントラクトの脆弱性と方法に関する文献を体系的にレビューする。
具体的には、スマートコントラクトの脆弱性とメソッドを、それらが対処するプロパティによって列挙し分類します。
異なる手法の強みに関するいくつかのパターンがこの分類プロセスを通して現れる。
論文 参考訳(メタデータ) (2023-01-15T12:36:56Z) - Byzantine-Robust Online and Offline Distributed Reinforcement Learning [60.970950468309056]
本稿では,複数のエージェントが環境を探索し,その経験を中央サーバを通じて伝達する分散強化学習環境について考察する。
エージェントの$alpha$-fractionは敵対的であり、任意の偽情報を報告することができる。
我々は、これらの対立エージェントの存在下で、マルコフ決定プロセスの根底にある準最適政策を特定することを模索する。
論文 参考訳(メタデータ) (2022-06-01T00:44:53Z) - Exploring Robustness of Unsupervised Domain Adaptation in Semantic
Segmentation [74.05906222376608]
クリーンな画像とそれらの逆の例との一致を、出力空間における対照的な損失によって最大化する、逆向きの自己スーパービジョンUDA(ASSUDA)を提案する。
i) セマンティックセグメンテーションにおけるUDA手法のロバスト性は未解明のままであり, (ii) 一般的に自己スーパービジョン(回転やジグソーなど) は分類や認識などのイメージタスクに有効であるが, セグメンテーションタスクの識別的表現を学習する重要な監視信号の提供には失敗している。
論文 参考訳(メタデータ) (2021-05-23T01:50:44Z) - ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep
Neural Network and Transfer Learning [80.85273827468063]
既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。
スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。
ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
論文 参考訳(メタデータ) (2021-03-23T15:04:44Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。