論文の概要: Less Is More: A Mixed-Methods Study on Security-Sensitive API Calls in Java for Better Dependency Selection

• arxiv url: http://arxiv.org/abs/2408.02846v1
• Date: Mon, 5 Aug 2024 22:01:18 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-08-07 15:28:57.183135
• Title: Less Is More: A Mixed-Methods Study on Security-Sensitive API Calls in Java for Better Dependency Selection
• Title（参考訳）: Javaのセキュリティに敏感なAPIコールに関する混合メソッドによる調査
• Authors: Imranur Rahman, Ranidya Paramitha, Henrik Plate, Dominik Wermke, Laurie Williams,
• Abstract要約: 本研究の目的は,コールグラフ解析を通じて,セキュリティに敏感なAPIを依存性として理解することで,依存関係の選択を支援することである。 機能的に類似したパッケージのセキュリティに敏感なAPI呼び出しの数は、1つのAPIカテゴリで0から368、合計で0から429まで様々である。 調査の結果,73%の開発者が,機能的に類似したパッケージのセキュリティに敏感なAPI呼び出しの数やタイプに関する情報が,依存関係の選択に有用であることを確認した。
• 参考スコア（独自算出の注目度）: 3.6525326603691504
• License: http://creativecommons.org/licenses/by-sa/4.0/
• Abstract: Security sensitive APIs provide access to security-sensitive resources, e.g., the filesystem or network resources. Including such API calls -- directly or through dependencies -- increases the application's attack surface. An example of such a phenomenon is Log4Shell, which rendered many applications vulnerable due to network-related capabilities (JNDI lookup) in log4j package. Before the Log4Shell incident, alternate logging libraries to log4j were available that do not make JNDI lookup calls. The impact of such an incident would be minimal if information about network-related API calls by logging libraries were available to the developers. And so the lack of visibility into the calls to these security sensitive APIs by functionally similar open-source packages makes it difficult for developers to use them as a dependency selection criterion. The goal of this study is to aid developers in selecting their dependency by understanding security sensitive APIs in their dependency through call graph analysis. We conducted a mixed-methods study with 45 Java packages and defined a list of 219 security sensitive APIs. We then used call graph analysis to analyze the prevalence of these APIs in our selected package versions, with and without their dependencies. Finally, we conducted a survey with open-source developers (110 respondents) showing the comparison of functionally similar packages w.r.t. Security sensitive API calls to understand the usefulness of this API information in the dependency selection process. The number of Security sensitive API calls of functionally similar packages can vary from 0 to 368 in one API category and 0 to 429 in total. Our survey results show that 73% developers agree that information about the number and type of security-sensitive API calls of functionally similar packages would have been useful in their dependency selection.
• Abstract（参考訳）: セキュリティに敏感なAPIは、例えばファイルシステムやネットワークリソースといった、セキュリティに敏感なリソースへのアクセスを提供する。 このようなAPI呼び出しを -- 直接あるいは依存関係を通じて -- 含めれば、アプリケーションのアタックサーフェスが増加する。 この現象の例としてLog4Shellがあり、log4jパッケージ内のネットワーク関連機能(JNDIルックアップ)によって、多くのアプリケーションが脆弱になった。 Log4Shellインシデント以前は、JNDIルックアップコールを行わないlog4jの代替ロギングライブラリが利用可能だった。 このようなインシデントの影響は、ロギングライブラリによるネットワーク関連のAPI呼び出しに関する情報が開発者に提供される場合、最小限に抑えられる。 したがって、機能的に類似したオープンソースパッケージによるこれらのセキュリティに敏感なAPI呼び出しに対する可視性の欠如は、開発者が依存関係の選択基準として使用するのを難しくする。 本研究の目的は,コールグラフ解析を通じて,セキュリティに敏感なAPIを依存性として理解することで,依存関係の選択を支援することである。 45のJavaパッケージを使って混合メソッドの調査を行い、219のセキュリティ機密APIのリストを定義しました。 次に、コールグラフ分析を使用して、依存関係の有無に関わらず、選択したパッケージバージョンにおけるこれらのAPIの頻度を分析しました。 最後に、我々はオープンソース開発者(110人の回答者)と調査を行い、依存性の選択プロセスにおけるこのAPI情報の有用性を理解するために、機能的に類似したパッケージw.r.t.セキュリティに敏感なAPI呼び出しの比較を行った。 機能的に類似したパッケージのセキュリティに敏感なAPI呼び出しの数は、1つのAPIカテゴリで0から368、合計で0から429まで様々である。 調査の結果,73%の開発者が,機能的に類似したパッケージのセキュリティに敏感なAPI呼び出しの数やタイプに関する情報が,依存関係の選択に有用であることを確認した。

関連論文リスト

• Out of Sight, Still at Risk: The Lifecycle of Transitive Vulnerabilities in Maven [0.3670008893193884]
  間接的な依存関係から生じる過渡的脆弱性は、共通脆弱性や露出に関連するリスクにプロジェクトを公開します。 我々は、CVE導入後のプロジェクトの露出時間を測定するためにサバイバル分析を採用している。 Mavenプロジェクトの大規模なデータセットを使用して、これらの脆弱性の解決に影響を及ぼす要因を特定します。
  論文  参考訳（メタデータ） (2025-04-07T07:54:15Z)
• Semantic Dependency in Microservice Architecture: A Framework for Definition and Detection [0.0]
  本稿では,これらの課題に対処する手段としてセマンティック依存行列を紹介する。 これは、これらの隠れた依存関係がエンドポイントデータの依存関係とは独立して存在することを示し、そうでなければ見過ごされる可能性のある重要な接続を明らかにする。
  論文  参考訳（メタデータ） (2025-01-20T23:34:24Z)
• On the Differential Privacy and Interactivity of Privacy Sandbox Reports [78.85958224681858]
  GoogleのPrivacy Sandboxイニシアチブには、プライバシ保護広告機能を実現するAPIが含まれている。 これらのAPIのプライバシを分析するための抽象モデルを提供し、それらが正式なDP保証を満たすことを示す。
  論文  参考訳（メタデータ） (2024-12-22T08:22:57Z)
• ExploraCoder: Advancing code generation for multiple unseen APIs via planning and chained exploration [70.26807758443675]
  ExploraCoderはトレーニング不要のフレームワークで、大規模な言語モデルにコードソリューションで見えないAPIを呼び出す権限を与える。 ExploraCoderは,事前のAPI知識を欠いたモデルのパフォーマンスを著しく向上させ,NAGアプローチの11.24%,pass@10の事前トレーニングメソッドの14.07%を絶対的に向上させることを示す。
  論文  参考訳（メタデータ） (2024-12-06T19:00:15Z)
• A Multi-Agent Approach for REST API Testing with Semantic Graphs and LLM-Driven Inputs [46.65963514391019]
  私たちは、REST APIテストに依存性組み込みのマルチエージェントアプローチを採用する最初のブラックボックスフレームワークであるAutoRestTestを紹介します。 MARL(Multi-Agent Reinforcement Learning)とSPDG(Semantic Property Dependency Graph)とLLM(Large Language Models)を統合した。 このアプローチでは、REST APIテストを、API、依存性、パラメータ、バリューという4つのエージェントが協力して、API探索を最適化する、分離可能な問題として扱います。
  論文  参考訳（メタデータ） (2024-11-11T16:20:27Z)
• A Systematic Evaluation of Large Code Models in API Suggestion: When, Which, and How [53.65636914757381]
  API提案は、現代のソフトウェア開発において重要なタスクである。 大規模コードモデル(LCM)の最近の進歩は、API提案タスクにおいて有望であることを示している。
  論文  参考訳（メタデータ） (2024-09-20T03:12:35Z)
• Cognitive Kernel: An Open-source Agent System towards Generalist Autopilots [54.55088169443828]
  我々は,ジェネラリストオートパイロットの目標に向けて,オープンソースのエージェントシステムであるCognitive Kernelを紹介する。 主にユーザーに依存して必要な状態情報を提供する自動操縦システムとは異なり、自動操縦システムは独立してタスクを完了しなければならない。 これを実現するために、自動操縦システムでは、ユーザの意図を理解し、様々な現実世界の情報源から必要な情報を積極的に収集し、賢明な判断をする必要がある。
  論文  参考訳（メタデータ） (2024-09-16T13:39:05Z)
• ToolACE: Winning the Points of LLM Function Calling [139.07157814653638]
  ToolACEは、正確で複雑で多様なツール学習データを生成するように設計された自動エージェントパイプラインである。 我々は、合成データに基づいてトレーニングされたモデルが、8Bパラメータだけで、バークレー・ファンクション・カリング・リーダーボード上で最先端のパフォーマンスを達成することを実証した。
  論文  参考訳（メタデータ） (2024-09-02T03:19:56Z)
• WorldAPIs: The World Is Worth How Many APIs? A Thought Experiment [49.00213183302225]
  本稿では, wikiHow 命令をエージェントの配置ポリシーに基礎付けることで, 新たな API を創出するフレームワークを提案する。 大規模言語モデル (LLM) の具体化計画における近年の成功に触発されて, GPT-4 のステアリングを目的とした数発のプロンプトを提案する。
  論文  参考訳（メタデータ） (2024-07-10T15:52:44Z)
• A Solution-based LLM API-using Methodology for Academic Information Seeking [49.096714812902576]
  SoAyは学術情報検索のためのソリューションベースのLLM API利用方法論である。 ソリューションが事前に構築されたAPI呼び出しシーケンスである場合、推論メソッドとしてソリューションを備えたコードを使用する。 その結果、最先端のLLM APIベースのベースラインと比較して34.58-75.99%のパフォーマンス改善が見られた。
  論文  参考訳（メタデータ） (2024-05-24T02:44:14Z)
• Contextual API Completion for Unseen Repositories Using LLMs [6.518508607788089]
  本稿では,API補完タスクのためのコードリポジトリ内で,グローバルおよびローカルなコンテキスト情報を活用することで幻覚を緩和する新しい手法を提案する。 当社のアプローチは、ローカルAPI補完の最適化に重点を置いて、コード補完タスクの洗練に適合しています。 私たちのツールであるLANCEは、APIトークンの補完と会話APIの補完で、Copilotを143%、Copilotを142%上回っています。
  論文  参考訳（メタデータ） (2024-05-07T18:22:28Z)
• DONAPI: Malicious NPM Packages Detector using Behavior Sequence Knowledge Mapping [28.852274185512236]
  npmは最も広範なパッケージマネージャであり、200万人以上のサードパーティのオープンソースパッケージをホストしている。 本稿では,340万以上のパッケージを含むローカルパッケージキャッシュをほぼリアルタイムで同期させ,より詳細なパッケージコードにアクセスできるようにする。 静的解析と動的解析を組み合わせた自動悪質npmパッケージ検出器であるDONAPIを提案する。
  論文  参考訳（メタデータ） (2024-03-13T08:38:21Z)
• Lightweight Syntactic API Usage Analysis with UCov [0.0]
  本稿では,ライブラリメンテナのAPIによるインタラクション理解を支援するための,新しい概念フレームワークを提案する。 これらのカスタマイズ可能なモデルにより、ライブラリメンテナはリリース前に設計を改善することができ、進化中の摩擦を減らすことができる。 我々は,これらのモデルを新しいツールUCovに実装し,多様なインタラクションスタイルを示す3つのライブラリ上でその能力を実証する。
  論文  参考訳（メタデータ） (2024-02-19T10:33:41Z)
• Finding Vulnerabilities in Mobile Application APIs: A Modular Programmatic Approach [0.0]
  アプリケーションプログラミングインタフェース(API)は、さまざまなモバイルアプリケーションでデータを転送するのにますます人気になっている。 これらのAPIはエンドポイントを通じてセンシティブなユーザ情報を処理します。 本稿では,様々なモバイルAndroidアプリケーションの情報漏洩を分析するために,モジュール型エンドポイント脆弱性検出ツールを開発した。
  論文  参考訳（メタデータ） (2023-10-22T00:08:51Z)
• Dependency Practices for Vulnerability Mitigation [4.710141711181836]
  npmエコシステムの450以上の脆弱性を分析し、依存するパッケージが脆弱なままである理由を理解します。 依存関係によって感染した20万以上のnpmパッケージを特定します。 私たちは9つの機能を使って、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築しています。
  論文  参考訳（メタデータ） (2023-10-11T19:48:46Z)
• APICom: Automatic API Completion via Prompt Learning and Adversarial Training-based Data Augmentation [6.029137544885093]
  APIレコメンデーションは、開発者が多数の候補APIの中で必要なAPIを見つけるのを支援するプロセスである。 これまでの研究では、主にAPIレコメンデーションをレコメンデーションタスクとしてモデル化していた。 ニューラルネットワーク翻訳研究領域に動機づけられたこの問題を生成タスクとしてモデル化することができる。 提案手法は,プロンプト学習に基づく新しいアプローチAPIComを提案し,そのプロンプトに応じてクエリに関連するAPIを生成する。
  論文  参考訳（メタデータ） (2023-09-13T15:31:50Z)
• Adaptive REST API Testing with Reinforcement Learning [54.68542517176757]
  現在のテストツールは効率的な探索機構がなく、全ての操作とパラメータを等しく扱う。 現在のツールは、仕様にレスポンススキーマがない場合や、変種を示す場合に苦労している。 我々は、強化学習を取り入れた適応型REST APIテスト手法を提案し、探索中の操作を優先順位付けする。
  論文  参考訳（メタデータ） (2023-09-08T20:27:05Z)
• Private-Library-Oriented Code Generation with Large Language Models [52.73999698194344]
  本稿では,大規模言語モデル(LLM)をプライベートライブラリのコード生成に活用することに焦点を当てる。 プログラマがプライベートコードを書く過程をエミュレートする新しいフレームワークを提案する。 TorchDataEval、TorchDataComplexEval、MonkeyEval、BeatNumEvalの4つのプライベートライブラリベンチマークを作成しました。
  論文  参考訳（メタデータ） (2023-07-28T07:43:13Z)
• Analyzing Maintenance Activities of Software Libraries [55.2480439325792]
  近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。 産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
  論文  参考訳（メタデータ） (2023-06-09T16:51:25Z)
• OpenAPI Specification Extended Security Scheme: A method to reduce the prevalence of Broken Object Level Authorization [0.0]
  API Securityは、OpenAPI標準の標準化された承認が欠如していることを考えると、懸念すべきトピックである。 本稿では,APIセキュリティにおける第1の脆弱性として,Broken Object Level Authorization(BOLA)について検討する。
  論文  参考訳（メタデータ） (2022-12-13T14:28:06Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。