論文の概要: AssetHarvester: A Static Analysis Tool for Detecting Secret-Asset Pairs in Software Artifacts

• arxiv url: http://arxiv.org/abs/2403.19072v2
• Date: Wed, 20 Nov 2024 06:06:15 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-11-21 16:11:11.591486
• Title: AssetHarvester: A Static Analysis Tool for Detecting Secret-Asset Pairs in Software Artifacts
• Title（参考訳）: AssetHarvester: ソフトウェアアーチファクト内のシークレットアセットペアを検出する静的解析ツール
• Authors: Setu Kumar Basak, K. Virgil English, Ken Ogura, Vitesh Kambara, Bradley Reaves, Laurie Williams,
• Abstract要約: AssetHarvesterは、リポジトリ内のシークレットとアセスメントのペアを検出する静的解析ツールです。 AssetHarvesterの性能を評価するため、188のパブリックリポジトリから抽出した4種類のデータベースの1,791のシークレットアセスメントペアのベンチマークをキュレートした。 以上の結果から,AssetHarvesterにおけるデータフロー解析は,0%の偽陽性を有するシークレット・アセスメント・ペアを検出し,シークレット検出ツールのリコールの改善に有効であることが示唆された。
• 参考スコア（独自算出の注目度）: 4.778835435164734
• License:
• Abstract: GitGuardian monitored secrets exposure in public GitHub repositories and reported that developers leaked over 12 million secrets (database and other credentials) in 2023, indicating a 113% surge from 2021. Despite the availability of secret detection tools, developers ignore the tools' reported warnings because of false positives (25%-99%). However, each secret protects assets of different values accessible through asset identifiers (a DNS name and a public or private IP address). The asset information for a secret can aid developers in filtering false positives and prioritizing secret removal from the source code. However, existing secret detection tools do not provide the asset information, thus presenting difficulty to developers in filtering secrets only by looking at the secret value or finding the assets manually for each reported secret. The goal of our study is to aid software practitioners in prioritizing secrets removal by providing the assets information protected by the secrets through our novel static analysis tool. We present AssetHarvester, a static analysis tool to detect secret-asset pairs in a repository. Since the location of the asset can be distant from where the secret is defined, we investigated secret-asset co-location patterns and found four patterns. To identify the secret-asset pairs of the four patterns, we utilized three approaches (pattern matching, data flow analysis, and fast-approximation heuristics). We curated a benchmark of 1,791 secret-asset pairs of four database types extracted from 188 public GitHub repositories to evaluate the performance of AssetHarvester. AssetHarvester demonstrates precision of (97%), recall (90%), and F1-score (94%) in detecting secret-asset pairs. Our findings indicate that data flow analysis employed in AssetHarvester detects secret-asset pairs with 0% false positives and aids in improving recall of secret detection tools.
• Abstract（参考訳）: GitGuardianは、公開GitHubリポジトリのシークレットの露出を監視し、開発者が2023年に1200万以上のシークレット(データベースやその他の認証情報)をリークしたことを報告した。 シークレット検出ツールが利用可能であるにもかかわらず、開発者は偽陽性(25%-99%)のため、ツールの報告された警告を無視している。 しかし、それぞれのシークレットは、アセット識別子(DNS名とパブリックまたはプライベートIPアドレス)を通じてアクセス可能な異なる値のアセットを保護する。 シークレットの資産情報は、開発者が偽陽性をフィルタリングし、ソースコードからシークレット削除を優先順位付けするのに役立ちます。 しかし、既存のシークレット検出ツールは資産情報を提供していないため、開発者はシークレットの値を見たり、報告されたシークレットごとに手動でアセットを見つけるだけで、シークレットをフィルタリングするのは難しい。 本研究の目的は,新たな静的解析ツールを通じて,秘密によって保護された資産情報を提供することにより,ソフトウェア実践者が秘密の除去を優先する支援を行うことである。 AssetHarvesterは、リポジトリ内のシークレットとアセスメントのペアを検出する静的解析ツールです。 資産の位置は秘密が定義されている場所から遠ざかる可能性があるため,秘密・秘密のコロケーションパターンを調査し,4つのパターンを見出した。 パターンマッチング,データフロー解析,高速近似ヒューリスティックスという3つの手法を用いた。 我々は、AssetHarvesterのパフォーマンスを評価するために、188のGitHubリポジトリから抽出された4種類のデータベースの1,791のシークレットアセスメントペアのベンチマークをキュレートした。 AssetHarvesterは、シークレットとアセットのペアを検出する際の精度(97%)、リコール(90%)、F1スコア(94%)を示す。 以上の結果から,AssetHarvesterにおけるデータフロー解析は,0%の偽陽性を有するシークレット・アセスメント・ペアを検出し,シークレット検出ツールのリコールの改善に有効であることが示唆された。

関連論文リスト

• Secret Breach Prevention in Software Issue Reports [2.8747015994080285]
  本稿では,ソフトウェア問題報告における秘密漏洩検出のための新しい手法を提案する。 ログファイル、URL、コミットID、スタックトレース、ダミーパスワードなど、ノイズによって引き起こされる課題を強調します。 本稿では,最先端技術の強みと言語モデルの文脈的理解を組み合わせたアプローチを提案する。
  論文  参考訳（メタデータ） (2024-10-31T06:14:17Z)
• Bayesian Detector Combination for Object Detection with Crowdsourced Annotations [49.43709660948812]
  制約のない画像できめ細かなオブジェクト検出アノテーションを取得するのは、時間がかかり、コストがかかり、ノイズに悩まされる。 ノイズの多いクラウドソースアノテーションでオブジェクト検出をより効果的に訓練するための新しいベイズ検出結合(BDC)フレームワークを提案する。 BDCはモデルに依存しず、アノテータのスキルレベルに関する事前の知識を必要とせず、既存のオブジェクト検出モデルとシームレスに統合される。
  論文  参考訳（メタデータ） (2024-07-10T18:00:54Z)
• Secret Sharing with Certified Deletion [4.082216579462796]
  シークレット・シェアリング(Secret Share)は、シークレットを複数の共有に分割して、シークレットが収集された場合にのみ、シークレットを回収できるようにする。 証明された削除を伴う秘密の共有では、(古典的な)秘密は量子共有に分割され、確実に破壊される。 i) モノトーンアクセス構造に対して無署名で認証された削除を含む秘密共有方式を構築する方法, (ii) 適応的な認証された削除を含むしきい値秘密共有方式を示す。
  論文  参考訳（メタデータ） (2024-05-13T19:01:08Z)
• Towards Efficient Verification of Constant-Time Cryptographic Implementations [5.433710892250037]
  一定時間プログラミングの規律は、タイミングサイドチャネル攻撃に対する効果的なソフトウェアベースの対策である。 本研究では, テナント解析の新たな相乗効果と自己構成プログラムの安全性検証に基づく実用的検証手法を提案する。 当社のアプローチはクロスプラットフォームで完全に自動化されたCT-Proverとして実装されている。
  論文  参考訳（メタデータ） (2024-02-21T03:39:14Z)
• Inferring Resource-Oriented Intentions using LLMs for Static Resource Leak Detection [14.783216988363804]
  リソースリークは、買収後にリリースされていないリソースによって引き起こされるもので、しばしばパフォーマンスの問題とシステムのクラッシュを引き起こす。 既存の静的検出技術は、未リリースのリソースを見つけるために、事前に定義されたリソース取得/リリースAPIとnullチェック条件の機械的マッチングに依存している。 InferROIは、コード内のリソース指向の意図(取得、リリース、到達可能性検証)を直接推論する新しいアプローチである。
  論文  参考訳（メタデータ） (2023-11-08T04:19:28Z)
• A Comparative Study of Software Secrets Reporting by Secret Detection Tools [5.9347272469695245]
  GitGuardianの公開GitHubリポジトリの監視によると、2022年にはシークレットが2021と比較して67%加速した。 ベンチマークデータセットに対する5つのオープンソースと4つのプロプライエタリなツールの評価を行う。 GitHub Secret Scanner (75%)、Gitleaks (46%)、Commercial X (25%)、リコールに基づく上位3つのツールは、Gitleaks (88%)、SpectralOps (67%)、TruffleHog (52%)である。
  論文  参考訳（メタデータ） (2023-07-03T02:32:09Z)
• SalienDet: A Saliency-based Feature Enhancement Algorithm for Object Detection for Autonomous Driving [160.57870373052577]
  未知の物体を検出するために,サリエンデット法(SalienDet)を提案する。 我々のSaienDetは、オブジェクトの提案生成のための画像機能を強化するために、サリエンシに基づくアルゴリズムを利用している。 オープンワールド検出を実現するためのトレーニングサンプルセットにおいて、未知のオブジェクトをすべてのオブジェクトと区別するためのデータセットレザベリングアプローチを設計する。
  論文  参考訳（メタデータ） (2023-05-11T16:19:44Z)
• Hiding Images in Deep Probabilistic Models [58.23127414572098]
  我々は、画像の深い確率モデルに隠蔽するための異なる計算フレームワークについて述べる。 具体的には、DNNを用いて、カバー画像の確率密度をモデル化し、学習した分布の特定の場所に秘密画像を隠す。 我々は,抽出精度とモデルセキュリティの観点から,SinGANアプローチの実現可能性を示す。
  論文  参考訳（メタデータ） (2022-10-05T13:33:25Z)
• Untargeted Backdoor Watermark: Towards Harmless and Stealthy Dataset Copyright Protection [69.59980270078067]
  我々は,異常なモデル行動が決定論的でない,未目標のバックドア透かし方式を探索する。 また、提案した未ターゲットのバックドア透かしをデータセットのオーナシップ検証に利用する方法について論じる。
  論文  参考訳（メタデータ） (2022-09-27T12:56:56Z)
• Black-box Dataset Ownership Verification via Backdoor Watermarking [67.69308278379957]
  我々は、リリースデータセットの保護を、(目立たしい)サードパーティモデルのトレーニングに採用されているかどうかの検証として定式化する。 バックドアの透かしを通じて外部パターンを埋め込んでオーナシップの検証を行い,保護することを提案する。 具体的には、有毒なバックドア攻撃(例えばBadNets)をデータセットのウォーターマーキングに利用し、データセット検証のための仮説テストガイダンスメソッドを設計する。
  論文  参考訳（メタデータ） (2022-08-04T05:32:20Z)
• Open-sourced Dataset Protection via Backdoor Watermarking [87.15630326131901]
  本稿では,オープンソースの画像分類データセットを保護するために,Emphbackdoor Embeddingベースのデータセット透かし手法を提案する。 疑わしい第三者モデルによって生成される後続確率に基づいて,仮説テストガイド法を用いてデータセット検証を行う。
  論文  参考訳（メタデータ） (2020-10-12T16:16:27Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。