論文の概要: AssetHarvester: A Static Analysis Tool for Detecting Secret-Asset Pairs in Software Artifacts

• arxiv url: http://arxiv.org/abs/2403.19072v2
• Date: Wed, 20 Nov 2024 06:06:15 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-11-21 16:11:11.591486
• Title: AssetHarvester: A Static Analysis Tool for Detecting Secret-Asset Pairs in Software Artifacts
• Title（参考訳）: AssetHarvester: ソフトウェアアーチファクト内のシークレットアセットペアを検出する静的解析ツール
• Authors: Setu Kumar Basak, K. Virgil English, Ken Ogura, Vitesh Kambara, Bradley Reaves, Laurie Williams,
• Abstract要約: AssetHarvesterは、リポジトリ内のシークレットとアセスメントのペアを検出する静的解析ツールです。 AssetHarvesterの性能を評価するため、188のパブリックリポジトリから抽出した4種類のデータベースの1,791のシークレットアセスメントペアのベンチマークをキュレートした。 以上の結果から,AssetHarvesterにおけるデータフロー解析は,0%の偽陽性を有するシークレット・アセスメント・ペアを検出し,シークレット検出ツールのリコールの改善に有効であることが示唆された。
• 参考スコア（独自算出の注目度）: 4.778835435164734
• License:
• Abstract: GitGuardian monitored secrets exposure in public GitHub repositories and reported that developers leaked over 12 million secrets (database and other credentials) in 2023, indicating a 113% surge from 2021. Despite the availability of secret detection tools, developers ignore the tools' reported warnings because of false positives (25%-99%). However, each secret protects assets of different values accessible through asset identifiers (a DNS name and a public or private IP address). The asset information for a secret can aid developers in filtering false positives and prioritizing secret removal from the source code. However, existing secret detection tools do not provide the asset information, thus presenting difficulty to developers in filtering secrets only by looking at the secret value or finding the assets manually for each reported secret. The goal of our study is to aid software practitioners in prioritizing secrets removal by providing the assets information protected by the secrets through our novel static analysis tool. We present AssetHarvester, a static analysis tool to detect secret-asset pairs in a repository. Since the location of the asset can be distant from where the secret is defined, we investigated secret-asset co-location patterns and found four patterns. To identify the secret-asset pairs of the four patterns, we utilized three approaches (pattern matching, data flow analysis, and fast-approximation heuristics). We curated a benchmark of 1,791 secret-asset pairs of four database types extracted from 188 public GitHub repositories to evaluate the performance of AssetHarvester. AssetHarvester demonstrates precision of (97%), recall (90%), and F1-score (94%) in detecting secret-asset pairs. Our findings indicate that data flow analysis employed in AssetHarvester detects secret-asset pairs with 0% false positives and aids in improving recall of secret detection tools.
• Abstract（参考訳）: GitGuardianは、公開GitHubリポジトリのシークレットの露出を監視し、開発者が2023年に1200万以上のシークレット(データベースやその他の認証情報)をリークしたことを報告した。 シークレット検出ツールが利用可能であるにもかかわらず、開発者は偽陽性(25%-99%)のため、ツールの報告された警告を無視している。 しかし、それぞれのシークレットは、アセット識別子(DNS名とパブリックまたはプライベートIPアドレス)を通じてアクセス可能な異なる値のアセットを保護する。 シークレットの資産情報は、開発者が偽陽性をフィルタリングし、ソースコードからシークレット削除を優先順位付けするのに役立ちます。 しかし、既存のシークレット検出ツールは資産情報を提供していないため、開発者はシークレットの値を見たり、報告されたシークレットごとに手動でアセットを見つけるだけで、シークレットをフィルタリングするのは難しい。 本研究の目的は,新たな静的解析ツールを通じて,秘密によって保護された資産情報を提供することにより,ソフトウェア実践者が秘密の除去を優先する支援を行うことである。 AssetHarvesterは、リポジトリ内のシークレットとアセスメントのペアを検出する静的解析ツールです。 資産の位置は秘密が定義されている場所から遠ざかる可能性があるため,秘密・秘密のコロケーションパターンを調査し,4つのパターンを見出した。 パターンマッチング,データフロー解析,高速近似ヒューリスティックスという3つの手法を用いた。 我々は、AssetHarvesterのパフォーマンスを評価するために、188のGitHubリポジトリから抽出された4種類のデータベースの1,791のシークレットアセスメントペアのベンチマークをキュレートした。 AssetHarvesterは、シークレットとアセットのペアを検出する際の精度(97%)、リコール(90%)、F1スコア(94%)を示す。 以上の結果から,AssetHarvesterにおけるデータフロー解析は,0%の偽陽性を有するシークレット・アセスメント・ペアを検出し,シークレット検出ツールのリコールの改善に有効であることが示唆された。

関連論文リスト

• RiskHarvester: A Risk-based Tool to Prioritize Secret Removal Efforts in Software Artifacts [5.432601851190413]
  2020年以降、GitGuardianはGitHubリポジトリのチェックインされたハードコードシークレットを検出している。 2020-2023年の間に、GitGuardianはハードコードされたシークレットが4倍に増加し、2023年には1280万が公開された。 RiskHarvesterは、資産の価値とデータベースに対する攻撃の容易さに基づいて、セキュリティリスクスコアを計算するリスクベースのツールである。
  論文  参考訳（メタデータ） (2025-02-03T03:32:12Z)
• Automatically Detecting Checked-In Secrets in Android Apps: How Far Are We? [4.619114660081147]
  開発者はしばしば、そのようなシークレットの適切なストレージを見落とし、プロジェクトに直接配置することを選択します。 チェックインされたシークレットがプロジェクトにチェックインされ、悪意のある敵によって簡単に抽出され、悪用される。 オープンソースプロジェクトとは異なり、ソースコードへの直接アクセスの欠如と難読化の存在は、Androidアプリのチェックインシークレット検出を複雑にする。
  論文  参考訳（メタデータ） (2024-12-14T18:14:25Z)
• Secret Breach Prevention in Software Issue Reports [2.8747015994080285]
  本稿では,ソフトウェア問題報告における秘密漏洩検出のための新しい手法を提案する。 ログファイル、URL、コミットID、スタックトレース、ダミーパスワードなど、ノイズによって引き起こされる課題を強調します。 本稿では,最先端技術の強みと言語モデルの文脈的理解を組み合わせたアプローチを提案する。
  論文  参考訳（メタデータ） (2024-10-31T06:14:17Z)
• Bayesian Detector Combination for Object Detection with Crowdsourced Annotations [49.43709660948812]
  制約のない画像できめ細かなオブジェクト検出アノテーションを取得するのは、時間がかかり、コストがかかり、ノイズに悩まされる。 ノイズの多いクラウドソースアノテーションでオブジェクト検出をより効果的に訓練するための新しいベイズ検出結合(BDC)フレームワークを提案する。 BDCはモデルに依存しず、アノテータのスキルレベルに関する事前の知識を必要とせず、既存のオブジェクト検出モデルとシームレスに統合される。
  論文  参考訳（メタデータ） (2024-07-10T18:00:54Z)
• Boosting Static Resource Leak Detection via LLM-based Resource-Oriented Intention Inference [14.783216988363804]
  既存の静的検出技術は、未リリースのリソースを見つけるために、事前に定義されたリソース取得/リリースAPIとnullチェック条件の機械的マッチングに依存している。 InferROIは、コード内のリソース指向の意図(取得、リリース、到達可能性検証)を直接推論する新しいアプローチである。 我々は、リソース指向の意図推論とリソースリーク検出の両方において、InferROIの有効性を評価する。
  論文  参考訳（メタデータ） (2023-11-08T04:19:28Z)
• A Comparative Study of Software Secrets Reporting by Secret Detection Tools [5.9347272469695245]
  GitGuardianの公開GitHubリポジトリの監視によると、2022年にはシークレットが2021と比較して67%加速した。 ベンチマークデータセットに対する5つのオープンソースと4つのプロプライエタリなツールの評価を行う。 GitHub Secret Scanner (75%)、Gitleaks (46%)、Commercial X (25%)、リコールに基づく上位3つのツールは、Gitleaks (88%)、SpectralOps (67%)、TruffleHog (52%)である。
  論文  参考訳（メタデータ） (2023-07-03T02:32:09Z)
• SalienDet: A Saliency-based Feature Enhancement Algorithm for Object Detection for Autonomous Driving [160.57870373052577]
  未知の物体を検出するために,サリエンデット法(SalienDet)を提案する。 我々のSaienDetは、オブジェクトの提案生成のための画像機能を強化するために、サリエンシに基づくアルゴリズムを利用している。 オープンワールド検出を実現するためのトレーニングサンプルセットにおいて、未知のオブジェクトをすべてのオブジェクトと区別するためのデータセットレザベリングアプローチを設計する。
  論文  参考訳（メタデータ） (2023-05-11T16:19:44Z)
• Hiding Images in Deep Probabilistic Models [58.23127414572098]
  我々は、画像の深い確率モデルに隠蔽するための異なる計算フレームワークについて述べる。 具体的には、DNNを用いて、カバー画像の確率密度をモデル化し、学習した分布の特定の場所に秘密画像を隠す。 我々は,抽出精度とモデルセキュリティの観点から,SinGANアプローチの実現可能性を示す。
  論文  参考訳（メタデータ） (2022-10-05T13:33:25Z)
• Untargeted Backdoor Watermark: Towards Harmless and Stealthy Dataset Copyright Protection [69.59980270078067]
  我々は,異常なモデル行動が決定論的でない,未目標のバックドア透かし方式を探索する。 また、提案した未ターゲットのバックドア透かしをデータセットのオーナシップ検証に利用する方法について論じる。
  論文  参考訳（メタデータ） (2022-09-27T12:56:56Z)
• Black-box Dataset Ownership Verification via Backdoor Watermarking [67.69308278379957]
  我々は、リリースデータセットの保護を、(目立たしい)サードパーティモデルのトレーニングに採用されているかどうかの検証として定式化する。 バックドアの透かしを通じて外部パターンを埋め込んでオーナシップの検証を行い,保護することを提案する。 具体的には、有毒なバックドア攻撃(例えばBadNets)をデータセットのウォーターマーキングに利用し、データセット検証のための仮説テストガイダンスメソッドを設計する。
  論文  参考訳（メタデータ） (2022-08-04T05:32:20Z)
• Open-sourced Dataset Protection via Backdoor Watermarking [87.15630326131901]
  本稿では,オープンソースの画像分類データセットを保護するために,Emphbackdoor Embeddingベースのデータセット透かし手法を提案する。 疑わしい第三者モデルによって生成される後続確率に基づいて,仮説テストガイド法を用いてデータセット検証を行う。
  論文  参考訳（メタデータ） (2020-10-12T16:16:27Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。