論文の概要: Fixing Smart Contract Vulnerabilities: A Comparative Analysis of
Literature and Developer's Practices
- arxiv url: http://arxiv.org/abs/2403.07458v1
- Date: Tue, 12 Mar 2024 09:55:54 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-13 22:12:15.680174
- Title: Fixing Smart Contract Vulnerabilities: A Comparative Analysis of
Literature and Developer's Practices
- Title(参考訳): スマートコントラクト脆弱性の修正:文学と開発者の実践の比較分析
- Authors: Francesco Salzano, Simone Scalabrino, Rocco Oliveto and Remo Pareschi
- Abstract要約: 文献で見られるような脆弱性の修正をガイドラインとして挙げる。
開発者がこれらのガイドラインにどの程度準拠しているか、あるいは他の実行可能な共通ソリューションがあるのか、それらが何であるかは明らかではない。
本研究の目的は,開発者が既存のガイドラインを遵守することに関連する知識ギャップを埋めることと,セキュリティ脆弱性に対する新たな,実行可能なソリューションを提案することである。
- 参考スコア(独自算出の注目度): 6.09162202256218
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Smart Contracts are programs running logic in the Blockchain network by
executing operations through immutable transactions. The Blockchain network
validates such transactions, storing them into sequential blocks of which
integrity is ensured. Smart Contracts deal with value stakes, if a damaging
transaction is validated, it may never be reverted, leading to unrecoverable
losses. To prevent this, security aspects have been explored in several fields,
with research providing catalogs of security defects, secure code
recommendations, and possible solutions to fix vulnerabilities. In our study,
we refer to vulnerability fixing in the ways found in the literature as
guidelines. However, it is not clear to what extent developers adhere to these
guidelines, nor whether there are other viable common solutions and what they
are. The goal of our research is to fill knowledge gaps related to developers'
observance of existing guidelines and to propose new and viable solutions to
security vulnerabilities. To reach our goal, we will obtain from Solidity
GitHub repositories the commits that fix vulnerabilities included in the DASP
TOP 10 and we will conduct a manual analysis of fixing approaches employed by
developers. Our analysis aims to determine the extent to which literature-based
fixing strategies are followed. Additionally, we will identify and discuss
emerging fixing techniques not currently documented in the literature. Through
qualitative analysis, we will evaluate the suitability of these new fixing
solutions and discriminate between valid approaches and potential mistakes.
- Abstract(参考訳): Smart Contractsは、不変トランザクションによる操作を実行することによって、ブロックチェーンネットワークでロジックを実行するプログラムである。
Blockchainネットワークはそのようなトランザクションを検証し、整合性を保証するシーケンシャルなブロックに格納する。
スマートコントラクトはバリューステークを扱うが、損傷のあるトランザクションが検証された場合、決してリターンされない可能性がある。
これを防ぐため、セキュリティの側面はいくつかの分野で検討されており、セキュリティ欠陥のカタログ、セキュアなコードレコメンデーション、脆弱性を修正するためのソリューションが研究されている。
本研究では,文献に見られる脆弱性の修正をガイドラインとして言及する。
しかし、開発者がこれらのガイドラインにどの程度準拠しているか、他の実行可能な共通ソリューションがあるのか、それらが何であるかは、はっきりしない。
私たちの研究の目標は、開発者が既存のガイドラインを遵守することに関連する知識のギャップを埋め、セキュリティ脆弱性に対する新しい実行可能なソリューションを提案することです。
目標を達成するために、私たちはsolidity githubリポジトリから、dasp top 10に含まれる脆弱性を修正するコミットを取得します。
本分析は,文献ベースの定着戦略がどの程度続くかを明らかにすることを目的とする。
また,現在文献に記載されていない新たな定着手法の特定と議論を行う。
質的分析を通じて,これらの新しい固定ソリューションの適合性を評価し,有効なアプローチと潜在的な誤りを判別する。
関連論文リスト
- Trust, but Verify: Evaluating Developer Behavior in Mitigating Security Vulnerabilities in Open-Source Software Projects [0.11999555634662631]
本研究では,オープンソースソフトウェア(OSS)プロジェクトの依存関係の脆弱性について検討する。
古い依存関係やメンテナンスされていない依存関係に共通する問題を特定しました。
その結果, 直接的な依存関係の削減と, 強力なセキュリティ記録を持つ高度に確立されたライブラリの優先順位付けが, ソフトウェアセキュリティの状況を改善する効果的な戦略であることが示唆された。
論文 参考訳(メタデータ) (2024-08-26T13:46:48Z) - Vulnerability Detection in Ethereum Smart Contracts via Machine Learning: A Qualitative Analysis [0.0]
スマートコントラクトに対する機械学習の脆弱性検出における技術の現状を分析する。
スマートコントラクトにおける脆弱性検出の精度,スコープ,効率を高めるためのベストプラクティスについて議論する。
論文 参考訳(メタデータ) (2024-07-26T10:09:44Z) - Exploring Automatic Cryptographic API Misuse Detection in the Era of LLMs [60.32717556756674]
本稿では,暗号誤用の検出において,大規模言語モデルを評価するための体系的評価フレームワークを提案する。
11,940個のLCM生成レポートを詳細に分析したところ、LSMに固有の不安定性は、報告の半数以上が偽陽性になる可能性があることがわかった。
最適化されたアプローチは、従来の手法を超え、確立されたベンチマークでこれまで知られていなかった誤用を明らかにすることで、90%近い顕著な検出率を達成する。
論文 参考訳(メタデータ) (2024-07-23T15:31:26Z) - Soley: Identification and Automated Detection of Logic Vulnerabilities in Ethereum Smart Contracts Using Large Language Models [1.081463830315253]
GitHubのコード変更から抽出された実世界のスマートコントラクトのロジック脆弱性を実証的に調査する。
本稿では,スマートコントラクトにおける論理的脆弱性の自動検出手法であるSoleyを紹介する。
スマートコントラクト開発者が実際のシナリオでこれらの脆弱性に対処するために使用する緩和戦略について検討する。
論文 参考訳(メタデータ) (2024-06-24T00:15:18Z) - What Can Self-Admitted Technical Debt Tell Us About Security? A
Mixed-Methods Study [6.286506087629511]
自己充足型技術的負債(SATD)
潜在的に悪用可能な脆弱性や セキュリティ上の欠陥に関する 恐ろしい情報源と見なすことができます
本研究は、SATDのセキュリティへの影響を、技術と開発者中心の観点から検討する。
論文 参考訳(メタデータ) (2024-01-23T13:48:49Z) - A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。
本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。
実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
論文 参考訳(メタデータ) (2024-01-19T14:52:04Z) - Online Safety Property Collection and Refinement for Safe Deep
Reinforcement Learning in Mapless Navigation [79.89605349842569]
オンラインプロパティのコレクション・リファインメント(CROP)フレームワークをトレーニング時にプロパティを設計するために導入する。
CROPは、安全でない相互作用を識別し、安全特性を形成するためにコストシグナルを使用する。
本手法をいくつかのロボットマップレスナビゲーションタスクで評価し,CROPで計算した違反量によって,従来のSafe DRL手法よりも高いリターンと低いリターンが得られることを示す。
論文 参考訳(メタデータ) (2023-02-13T21:19:36Z) - CodeLMSec Benchmark: Systematically Evaluating and Finding Security
Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。
これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。
この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
論文 参考訳(メタデータ) (2023-02-08T11:54:07Z) - Pre-deployment Analysis of Smart Contracts -- A Survey [0.27195102129095]
本稿では,スマートコントラクトの脆弱性と方法に関する文献を体系的にレビューする。
具体的には、スマートコントラクトの脆弱性とメソッドを、それらが対処するプロパティによって列挙し分類します。
異なる手法の強みに関するいくつかのパターンがこの分類プロセスを通して現れる。
論文 参考訳(メタデータ) (2023-01-15T12:36:56Z) - ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep
Neural Network and Transfer Learning [80.85273827468063]
既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。
スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。
ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
論文 参考訳(メタデータ) (2021-03-23T15:04:44Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。