論文の概要: AssetHarvester: A Static Analysis Tool for Detecting Assets Protected by Secrets in Software Artifacts
- arxiv url: http://arxiv.org/abs/2403.19072v1
- Date: Thu, 28 Mar 2024 00:24:49 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-29 17:42:20.350023
- Title: AssetHarvester: A Static Analysis Tool for Detecting Assets Protected by Secrets in Software Artifacts
- Title(参考訳): AssetHarvester: ソフトウェアアーチファクト内のシークレットによって保護されるアセットを検出する静的解析ツール
- Authors: Setu Kumar Basak, K. Virgil English, Ken Ogura, Vitesh Kambara, Bradley Reaves, Laurie Williams,
- Abstract要約: AssetHarvesterは、リポジトリ内のシークレットとアセスメントのペアを検出する静的解析ツールです。
我々は188のパブリックリポジトリから抽出した4種類のデータベースの1,791のシークレットアセスメントペアのベンチマークをキュレートした。
以上の結果から, AssetHarvester を用いたデータフロー解析は, 偽陽性0%のシークレット・アセスメント・ペアを検出することが示唆された。
- 参考スコア(独自算出の注目度): 4.778835435164734
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: GitGuardian monitored secrets exposure in public GitHub repositories and reported developers leaked over 12 million secrets (database and other credentials) in 2023, indicating a 113% surge from 2021. Despite the availability of secret detection tools, developers ignore the tools' reported warnings because of false positives (25%-99%). However, each secret protects assets of different values accessible through asset identifiers (a DNS name and a public or private IP address). The asset information for a secret can aid developers in filtering false positives and prioritizing secret removal from the source code. However, existing secret detection tools do not provide the asset information, thus presenting difficulty to developers in filtering secrets only by looking at the secret value or finding the assets manually for each reported secret. The goal of our study is to aid software practitioners in prioritizing secrets removal by providing the assets information protected by the secrets through our novel static analysis tool. We present AssetHarvester, a static analysis tool to detect secret-asset pairs in a repository. Since the location of the asset can be distant from where the secret is defined, we investigated secret-asset co-location patterns and found four patterns. To identify the secret-asset pairs of the four patterns, we utilized three approaches (pattern matching, data flow analysis, and fast-approximation heuristics). We curated a benchmark of 1,791 secret-asset pairs of four database types extracted from 188 public GitHub repositories to evaluate the performance of AssetHarvester. AssetHarvester demonstrates precision of (97%), recall (90%), and F1-score (94%) in detecting secret-asset pairs. Our findings indicate that data flow analysis employed in AssetHarvester detects secret-asset pairs with 0% false positives and aids in improving the recall of secret detection tools.
- Abstract(参考訳): GitGuardianは、公開GitHubリポジトリのシークレットの公開を監視し、開発者が2023年に1200万以上のシークレット(データベースやその他の認証情報)をリークしたことを報告した。
シークレット検出ツールが利用可能であるにもかかわらず、開発者は偽陽性(25%-99%)のため、ツールの報告された警告を無視している。
しかし、それぞれのシークレットは、アセット識別子(DNS名とパブリックまたはプライベートIPアドレス)を通じてアクセス可能な異なる値のアセットを保護する。
シークレットの資産情報は、開発者が偽陽性をフィルタリングし、ソースコードからシークレット削除を優先順位付けするのに役立ちます。
しかし、既存のシークレット検出ツールは資産情報を提供していないため、開発者はシークレットの値を見たり、報告されたシークレットごとに手動でアセットを見つけるだけで、シークレットをフィルタリングするのは難しい。
本研究の目的は,新たな静的解析ツールを通じて,秘密によって保護された資産情報を提供することにより,ソフトウェア実践者が秘密の除去を優先する支援を行うことである。
AssetHarvesterは、リポジトリ内のシークレットとアセスメントのペアを検出する静的解析ツールです。
資産の位置は秘密が定義されている場所から遠ざかる可能性があるため,秘密・秘密のコロケーションパターンを調査し,4つのパターンを見出した。
パターンマッチング,データフロー解析,高速近似ヒューリスティックスという3つの手法を用いた。
我々は、AssetHarvesterのパフォーマンスを評価するために、188のGitHubリポジトリから抽出された4種類のデータベースの1,791のシークレットアセスメントペアのベンチマークをキュレートした。
AssetHarvesterは、シークレットとアセットのペアを検出する際の精度(97%)、リコール(90%)、F1スコア(94%)を示す。
以上の結果から,AssetHarvesterにおけるデータフロー解析は,0%の偽陽性を有するシークレット・アセスメント・ペアを検出し,シークレット検出ツールのリコールの改善に有効であることが示唆された。
関連論文リスト
- FineWAVE: Fine-Grained Warning Verification of Bugs for Automated Static Analysis Tools [18.927121513404924]
ASAT(Automated Static Analysis Tools)は、バグ検出を支援するために、時間とともに進化してきた。
これまでの研究は、報告された警告を検証するための学習ベースの方法を探究してきた。
我々は,バグに敏感な警告をきめ細かい粒度で検証する学習ベースアプローチであるFineWAVEを提案する。
論文 参考訳(メタデータ) (2024-03-24T06:21:35Z) - Towards Efficient Verification of Constant-Time Cryptographic
Implementations [5.433710892250037]
一定時間プログラミングの規律は、タイミングサイドチャネル攻撃に対する効果的なソフトウェアベースの対策である。
本研究では, テナント解析の新たな相乗効果と自己構成プログラムの安全性検証に基づく実用的検証手法を提案する。
当社のアプローチはクロスプラットフォームで完全に自動化されたCT-Proverとして実装されている。
論文 参考訳(メタデータ) (2024-02-21T03:39:14Z) - UncertaintyTrack: Exploiting Detection and Localization Uncertainty in Multi-Object Tracking [8.645078288584305]
マルチオブジェクトトラッキング(MOT)手法は近年,性能が大幅に向上している。
複数のTBDトラッカーに適用可能なエクステンションのコレクションであるUncertaintyTrackを紹介します。
バークレーディープドライブMOTデータセットの実験では、我々の手法と情報的不確実性推定の組み合わせにより、IDスイッチの数を約19%削減している。
論文 参考訳(メタデータ) (2024-02-19T17:27:04Z) - New Properties of Intrinsic Information and Their Relation to Bound
Secrecy [0.0]
シークレットキーレートは、アリスとボブが共同確率分布のサンプリングからシークレットビットを抽出できる速度を測定する。
減少した内在情報が 0 であることは、内在情報が 0 である場合に限り証明する。
この結果は、以下の2つの予想のうちの少なくとも1つが偽であることを意味している:有界な秘密が存在するか、あるいは減少した内在的な情報が秘密鍵レートに等しい。
論文 参考訳(メタデータ) (2023-08-17T15:10:45Z) - A Comparative Study of Software Secrets Reporting by Secret Detection
Tools [5.9347272469695245]
GitGuardianの公開GitHubリポジトリの監視によると、2022年にはシークレットが2021と比較して67%加速した。
ベンチマークデータセットに対する5つのオープンソースと4つのプロプライエタリなツールの評価を行う。
GitHub Secret Scanner (75%)、Gitleaks (46%)、Commercial X (25%)、リコールに基づく上位3つのツールは、Gitleaks (88%)、SpectralOps (67%)、TruffleHog (52%)である。
論文 参考訳(メタデータ) (2023-07-03T02:32:09Z) - SalienDet: A Saliency-based Feature Enhancement Algorithm for Object
Detection for Autonomous Driving [160.57870373052577]
未知の物体を検出するために,サリエンデット法(SalienDet)を提案する。
我々のSaienDetは、オブジェクトの提案生成のための画像機能を強化するために、サリエンシに基づくアルゴリズムを利用している。
オープンワールド検出を実現するためのトレーニングサンプルセットにおいて、未知のオブジェクトをすべてのオブジェクトと区別するためのデータセットレザベリングアプローチを設計する。
論文 参考訳(メタデータ) (2023-05-11T16:19:44Z) - Knowledge Combination to Learn Rotated Detection Without Rotated
Annotation [53.439096583978504]
回転バウンディングボックスは、伸長したオブジェクトの出力あいまいさを劇的に減少させる。
この効果にもかかわらず、回転検出器は広く使われていない。
本稿では,モデルが正確な回転ボックスを予測できるフレームワークを提案する。
論文 参考訳(メタデータ) (2023-04-05T03:07:36Z) - Hiding Images in Deep Probabilistic Models [58.23127414572098]
我々は、画像の深い確率モデルに隠蔽するための異なる計算フレームワークについて述べる。
具体的には、DNNを用いて、カバー画像の確率密度をモデル化し、学習した分布の特定の場所に秘密画像を隠す。
我々は,抽出精度とモデルセキュリティの観点から,SinGANアプローチの実現可能性を示す。
論文 参考訳(メタデータ) (2022-10-05T13:33:25Z) - Untargeted Backdoor Watermark: Towards Harmless and Stealthy Dataset
Copyright Protection [69.59980270078067]
我々は,異常なモデル行動が決定論的でない,未目標のバックドア透かし方式を探索する。
また、提案した未ターゲットのバックドア透かしをデータセットのオーナシップ検証に利用する方法について論じる。
論文 参考訳(メタデータ) (2022-09-27T12:56:56Z) - Black-box Dataset Ownership Verification via Backdoor Watermarking [67.69308278379957]
我々は、リリースデータセットの保護を、(目立たしい)サードパーティモデルのトレーニングに採用されているかどうかの検証として定式化する。
バックドアの透かしを通じて外部パターンを埋め込んでオーナシップの検証を行い,保護することを提案する。
具体的には、有毒なバックドア攻撃(例えばBadNets)をデータセットのウォーターマーキングに利用し、データセット検証のための仮説テストガイダンスメソッドを設計する。
論文 参考訳(メタデータ) (2022-08-04T05:32:20Z) - Open-sourced Dataset Protection via Backdoor Watermarking [87.15630326131901]
本稿では,オープンソースの画像分類データセットを保護するために,Emphbackdoor Embeddingベースのデータセット透かし手法を提案する。
疑わしい第三者モデルによって生成される後続確率に基づいて,仮説テストガイド法を用いてデータセット検証を行う。
論文 参考訳(メタデータ) (2020-10-12T16:16:27Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。