論文の概要: Less Is More: A Mixed-Methods Study on Security-Sensitive API Calls in Java for Better Dependency Selection
- arxiv url: http://arxiv.org/abs/2408.02846v1
- Date: Mon, 5 Aug 2024 22:01:18 GMT
- ステータス: 処理完了
- システム内更新日: 2024-08-07 15:28:57.183135
- Title: Less Is More: A Mixed-Methods Study on Security-Sensitive API Calls in Java for Better Dependency Selection
- Title(参考訳): Javaのセキュリティに敏感なAPIコールに関する混合メソッドによる調査
- Authors: Imranur Rahman, Ranidya Paramitha, Henrik Plate, Dominik Wermke, Laurie Williams,
- Abstract要約: 本研究の目的は,コールグラフ解析を通じて,セキュリティに敏感なAPIを依存性として理解することで,依存関係の選択を支援することである。
機能的に類似したパッケージのセキュリティに敏感なAPI呼び出しの数は、1つのAPIカテゴリで0から368、合計で0から429まで様々である。
調査の結果,73%の開発者が,機能的に類似したパッケージのセキュリティに敏感なAPI呼び出しの数やタイプに関する情報が,依存関係の選択に有用であることを確認した。
- 参考スコア(独自算出の注目度): 3.6525326603691504
- License: http://creativecommons.org/licenses/by-sa/4.0/
- Abstract: Security sensitive APIs provide access to security-sensitive resources, e.g., the filesystem or network resources. Including such API calls -- directly or through dependencies -- increases the application's attack surface. An example of such a phenomenon is Log4Shell, which rendered many applications vulnerable due to network-related capabilities (JNDI lookup) in log4j package. Before the Log4Shell incident, alternate logging libraries to log4j were available that do not make JNDI lookup calls. The impact of such an incident would be minimal if information about network-related API calls by logging libraries were available to the developers. And so the lack of visibility into the calls to these security sensitive APIs by functionally similar open-source packages makes it difficult for developers to use them as a dependency selection criterion. The goal of this study is to aid developers in selecting their dependency by understanding security sensitive APIs in their dependency through call graph analysis. We conducted a mixed-methods study with 45 Java packages and defined a list of 219 security sensitive APIs. We then used call graph analysis to analyze the prevalence of these APIs in our selected package versions, with and without their dependencies. Finally, we conducted a survey with open-source developers (110 respondents) showing the comparison of functionally similar packages w.r.t. Security sensitive API calls to understand the usefulness of this API information in the dependency selection process. The number of Security sensitive API calls of functionally similar packages can vary from 0 to 368 in one API category and 0 to 429 in total. Our survey results show that 73% developers agree that information about the number and type of security-sensitive API calls of functionally similar packages would have been useful in their dependency selection.
- Abstract(参考訳): セキュリティに敏感なAPIは、例えばファイルシステムやネットワークリソースといった、セキュリティに敏感なリソースへのアクセスを提供する。
このようなAPI呼び出しを -- 直接あるいは依存関係を通じて -- 含めれば、アプリケーションのアタックサーフェスが増加する。
この現象の例としてLog4Shellがあり、log4jパッケージ内のネットワーク関連機能(JNDIルックアップ)によって、多くのアプリケーションが脆弱になった。
Log4Shellインシデント以前は、JNDIルックアップコールを行わないlog4jの代替ロギングライブラリが利用可能だった。
このようなインシデントの影響は、ロギングライブラリによるネットワーク関連のAPI呼び出しに関する情報が開発者に提供される場合、最小限に抑えられる。
したがって、機能的に類似したオープンソースパッケージによるこれらのセキュリティに敏感なAPI呼び出しに対する可視性の欠如は、開発者が依存関係の選択基準として使用するのを難しくする。
本研究の目的は,コールグラフ解析を通じて,セキュリティに敏感なAPIを依存性として理解することで,依存関係の選択を支援することである。
45のJavaパッケージを使って混合メソッドの調査を行い、219のセキュリティ機密APIのリストを定義しました。
次に、コールグラフ分析を使用して、依存関係の有無に関わらず、選択したパッケージバージョンにおけるこれらのAPIの頻度を分析しました。
最後に、我々はオープンソース開発者(110人の回答者)と調査を行い、依存性の選択プロセスにおけるこのAPI情報の有用性を理解するために、機能的に類似したパッケージw.r.t.セキュリティに敏感なAPI呼び出しの比較を行った。
機能的に類似したパッケージのセキュリティに敏感なAPI呼び出しの数は、1つのAPIカテゴリで0から368、合計で0から429まで様々である。
調査の結果,73%の開発者が,機能的に類似したパッケージのセキュリティに敏感なAPI呼び出しの数やタイプに関する情報が,依存関係の選択に有用であることを確認した。
関連論文リスト
- A Multi-Agent Approach for REST API Testing with Semantic Graphs and LLM-Driven Inputs [46.65963514391019]
私たちは、REST APIテストに依存性組み込みのマルチエージェントアプローチを採用する最初のブラックボックスフレームワークであるAutoRestTestを紹介します。
MARL(Multi-Agent Reinforcement Learning)とSPDG(Semantic Property Dependency Graph)とLLM(Large Language Models)を統合した。
このアプローチでは、REST APIテストを、API、依存性、パラメータ、バリューという4つのエージェントが協力して、API探索を最適化する、分離可能な問題として扱います。
論文 参考訳(メタデータ) (2024-11-11T16:20:27Z) - A Systematic Evaluation of Large Code Models in API Suggestion: When, Which, and How [53.65636914757381]
API提案は、現代のソフトウェア開発において重要なタスクである。
大規模コードモデル(LCM)の最近の進歩は、API提案タスクにおいて有望であることを示している。
論文 参考訳(メタデータ) (2024-09-20T03:12:35Z) - ToolACE: Winning the Points of LLM Function Calling [139.07157814653638]
ToolACEは、正確で複雑で多様なツール学習データを生成するように設計された自動エージェントパイプラインである。
我々は、合成データに基づいてトレーニングされたモデルが、8Bパラメータだけで、バークレー・ファンクション・カリング・リーダーボード上で最先端のパフォーマンスを達成することを実証した。
論文 参考訳(メタデータ) (2024-09-02T03:19:56Z) - WorldAPIs: The World Is Worth How Many APIs? A Thought Experiment [49.00213183302225]
本稿では, wikiHow 命令をエージェントの配置ポリシーに基礎付けることで, 新たな API を創出するフレームワークを提案する。
大規模言語モデル (LLM) の具体化計画における近年の成功に触発されて, GPT-4 のステアリングを目的とした数発のプロンプトを提案する。
論文 参考訳(メタデータ) (2024-07-10T15:52:44Z) - A Solution-based LLM API-using Methodology for Academic Information Seeking [49.096714812902576]
SoAyは学術情報検索のためのソリューションベースのLLM API利用方法論である。
ソリューションが事前に構築されたAPI呼び出しシーケンスである場合、推論メソッドとしてソリューションを備えたコードを使用する。
その結果、最先端のLLM APIベースのベースラインと比較して34.58-75.99%のパフォーマンス改善が見られた。
論文 参考訳(メタデータ) (2024-05-24T02:44:14Z) - Contextual API Completion for Unseen Repositories Using LLMs [6.518508607788089]
本稿では,API補完タスクのためのコードリポジトリ内で,グローバルおよびローカルなコンテキスト情報を活用することで幻覚を緩和する新しい手法を提案する。
当社のアプローチは、ローカルAPI補完の最適化に重点を置いて、コード補完タスクの洗練に適合しています。
私たちのツールであるLANCEは、APIトークンの補完と会話APIの補完で、Copilotを143%、Copilotを142%上回っています。
論文 参考訳(メタデータ) (2024-05-07T18:22:28Z) - DONAPI: Malicious NPM Packages Detector using Behavior Sequence Knowledge Mapping [28.852274185512236]
npmは最も広範なパッケージマネージャであり、200万人以上のサードパーティのオープンソースパッケージをホストしている。
本稿では,340万以上のパッケージを含むローカルパッケージキャッシュをほぼリアルタイムで同期させ,より詳細なパッケージコードにアクセスできるようにする。
静的解析と動的解析を組み合わせた自動悪質npmパッケージ検出器であるDONAPIを提案する。
論文 参考訳(メタデータ) (2024-03-13T08:38:21Z) - Lightweight Syntactic API Usage Analysis with UCov [0.0]
本稿では,ライブラリメンテナのAPIによるインタラクション理解を支援するための,新しい概念フレームワークを提案する。
これらのカスタマイズ可能なモデルにより、ライブラリメンテナはリリース前に設計を改善することができ、進化中の摩擦を減らすことができる。
我々は,これらのモデルを新しいツールUCovに実装し,多様なインタラクションスタイルを示す3つのライブラリ上でその能力を実証する。
論文 参考訳(メタデータ) (2024-02-19T10:33:41Z) - Finding Vulnerabilities in Mobile Application APIs: A Modular Programmatic Approach [0.0]
アプリケーションプログラミングインタフェース(API)は、さまざまなモバイルアプリケーションでデータを転送するのにますます人気になっている。
これらのAPIはエンドポイントを通じてセンシティブなユーザ情報を処理します。
本稿では,様々なモバイルAndroidアプリケーションの情報漏洩を分析するために,モジュール型エンドポイント脆弱性検出ツールを開発した。
論文 参考訳(メタデータ) (2023-10-22T00:08:51Z) - APICom: Automatic API Completion via Prompt Learning and Adversarial
Training-based Data Augmentation [6.029137544885093]
APIレコメンデーションは、開発者が多数の候補APIの中で必要なAPIを見つけるのを支援するプロセスである。
これまでの研究では、主にAPIレコメンデーションをレコメンデーションタスクとしてモデル化していた。
ニューラルネットワーク翻訳研究領域に動機づけられたこの問題を生成タスクとしてモデル化することができる。
提案手法は,プロンプト学習に基づく新しいアプローチAPIComを提案し,そのプロンプトに応じてクエリに関連するAPIを生成する。
論文 参考訳(メタデータ) (2023-09-13T15:31:50Z) - Private-Library-Oriented Code Generation with Large Language Models [52.73999698194344]
本稿では,大規模言語モデル(LLM)をプライベートライブラリのコード生成に活用することに焦点を当てる。
プログラマがプライベートコードを書く過程をエミュレートする新しいフレームワークを提案する。
TorchDataEval、TorchDataComplexEval、MonkeyEval、BeatNumEvalの4つのプライベートライブラリベンチマークを作成しました。
論文 参考訳(メタデータ) (2023-07-28T07:43:13Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。