論文の概要: A Comprehensive Study on Static Application Security Testing (SAST) Tools for Android

• arxiv url: http://arxiv.org/abs/2410.20740v1
• Date: Mon, 28 Oct 2024 05:10:22 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-10-29 12:16:29.023548
• Title: A Comprehensive Study on Static Application Security Testing (SAST) Tools for Android
• Title（参考訳）: Android向け静的アプリケーションセキュリティテスト(SAST)ツールに関する総合的研究
• Authors: Jingyun Zhu, Kaixuan Li, Sen Chen, Lingling Fan, Junjie Wang, Xiaofei Xie,
• Abstract要約: VulsTotalは、ツールがサポートする脆弱性タイプを定義し記述するための統合評価プラットフォームである。 我々は97のオプションのプールから11のオープンソースSASTツールを選択し、明確に定義された基準に従っています。 次に、Android SASTツールの一般/一般的な脆弱性タイプ67を統一します。
• 参考スコア（独自算出の注目度）: 22.558610938860124
• License:
• Abstract: To identify security vulnerabilities in Android applications, numerous static application security testing (SAST) tools have been proposed. However, it poses significant challenges to assess their overall performance on diverse vulnerability types. The task is non-trivial and poses considerable challenges. {Firstly, the absence of a unified evaluation platform for defining and describing tools' supported vulnerability types, coupled with the lack of normalization for the intricate and varied reports generated by different tools, significantly adds to the complexity.} Secondly, there is a scarcity of adequate benchmarks, particularly those derived from real-world scenarios. To address these problems, we are the first to propose a unified platform named VulsTotal, supporting various vulnerability types, enabling comprehensive and versatile analysis across diverse SAST tools. Specifically, we begin by meticulously selecting 11 free and open-sourced SAST tools from a pool of 97 existing options, adhering to clearly defined criteria. After that, we invest significant efforts in comprehending the detection rules of each tool, subsequently unifying 67 general/common vulnerability types for {Android} SAST tools. We also redefine and implement a standardized reporting format, ensuring uniformity in presenting results across all tools. Additionally, to mitigate the problem of benchmarks, we conducted a manual analysis of huge amounts of CVEs to construct a new CVE-based benchmark based on our comprehension of Android app vulnerabilities. Leveraging the evaluation platform, which integrates both existing synthetic benchmarks and newly constructed CVE-based benchmarks from this study, we conducted a comprehensive analysis to evaluate and compare these selected tools from various perspectives, such as general vulnerability type coverage, type consistency, tool effectiveness, and time performance.
• Abstract（参考訳）: Androidアプリケーションのセキュリティ脆弱性を特定するため、多数の静的アプリケーションセキュリティテスト(SAST)ツールが提案されている。 しかしながら、さまざまな脆弱性タイプで全体的なパフォーマンスを評価するには、大きな課題があります。 タスクは簡単ではなく、かなりの課題を提起します。 まず、ツールがサポートしている脆弱性タイプを定義し、記述するための統一された評価プラットフォームがないことと、さまざまなツールによって生成される複雑で多様なレポートの正規化の欠如が、複雑さを著しく増している。 第二に、適切なベンチマーク、特に現実世界のシナリオから派生したものが不足しています。 これらの問題に対処するため、私たちはVulsTotalという名前の統一プラットフォームを初めて提案しました。 具体的には、97のオプションのプールから11のオープンソースSASTツールを慎重に選択し、明確に定義された基準に固執することから始めます。 その後、各ツールの検出ルールの解釈に多大な労力を費やし、その後、 {Android} SASTツールの67の一般/共通脆弱性タイプを統合する。 また、標準化されたレポートフォーマットを再定義し実装し、すべてのツールにまたがる結果の統一性を確保します。 さらに、ベンチマークの問題を緩和するため、Androidアプリの脆弱性の理解に基づいて、大量のCVEを手動で分析し、新しいCVEベースのベンチマークを構築しました。 本研究は,既存の総合ベンチマークと新たに構築されたCVEベースのベンチマークを統合した評価プラットフォームを活用し,汎用的な脆弱性型カバレッジ,型整合性,ツールの有効性,時間的パフォーマンスなど,さまざまな観点から,これらのツールを評価・比較するための総合的な分析を行った。

関連論文リスト

• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• Static Application Security Testing (SAST) Tools for Smart Contracts: How Far Are We? [14.974832502863526]
  近年,スマートコントラクトセキュリティの重要性が高まっている。 この問題に対処するため、スマートコントラクトの脆弱性を検出するために、多数の静的アプリケーションセキュリティテスト(SAST)ツールが提案されている。 本稿では,スマートコントラクトに対する45種類の脆弱性を含む,最新のきめ細かな分類法を提案する。
  論文  参考訳（メタデータ） (2024-04-28T13:40:18Z)
• An Extensive Comparison of Static Application Security Testing Tools [1.3927943269211593]
  静的アプリケーションセキュリティテストツール(SASTT)は、ソフトウェアアプリケーションのセキュリティと信頼性をサポートするソフトウェア脆弱性を特定する。 いくつかの研究は、偽アラームを発生させる傾向があるため、代替ソリューションがSASTTよりも効果的である可能性を示唆している。 SASTTの評価は、制御されているが合成されたJavaに基づいています。
  論文  参考訳（メタデータ） (2024-03-14T09:37:54Z)
• SALAD-Bench: A Hierarchical and Comprehensive Safety Benchmark for Large Language Models [107.82336341926134]
  SALAD-Benchは、大規模言語モデル(LLM)を評価するために特別に設計された安全ベンチマークである。 それは、その大規模な、豊富な多様性、三つのレベルにまたがる複雑な分類、多目的機能を通じて、従来のベンチマークを超越している。
  論文  参考訳（メタデータ） (2024-02-07T17:33:54Z)
• ASSERT: Automated Safety Scenario Red Teaming for Evaluating the Robustness of Large Language Models [65.79770974145983]
  ASSERT、Automated Safety Scenario Red Teamingは、セマンティックなアグリゲーション、ターゲットブートストラップ、敵の知識注入という3つの方法で構成されている。 このプロンプトを4つの安全領域に分割し、ドメインがモデルの性能にどのように影響するかを詳細に分析する。 統計的に有意な性能差は, 意味的関連シナリオにおける絶対分類精度が最大11%, ゼロショット逆数設定では最大19%の絶対誤差率であることがわかった。
  論文  参考訳（メタデータ） (2023-10-14T17:10:28Z)
• A Systematic Evaluation of Automated Tools for Side-Channel Vulnerabilities Detection in Cryptographic Libraries [6.826526973994114]
  文献を調査し,34のサイドチャネル検出フレームワークの分類を行った。 次に、5つの有望な検出ツールの選択に基づいて、代表的な暗号操作のベンチマークを構築しました。 最近公開されたサイドチャネル脆弱性の分類を提供する。 既存のツールでは,SIMD命令のサポートの欠如,暗黙のフロー,内部シークレット生成など,さまざまな理由から脆弱性を見つけるのに苦労しています。
  論文  参考訳（メタデータ） (2023-10-12T09:18:26Z)
• "False negative -- that one is going to kill you": Understanding Industry Perspectives of Static Analysis based Security Testing [15.403953373155508]
  本稿では,SASTを利用する開発者が経験した仮定,期待,信念,課題について質的研究を行う。 私たちは、さまざまなソフトウェア開発の専門知識を持つ20人の実践者と、深く、半構造化されたインタビューを行います。 私たちは、SASTに関連する開発者の認識と欲求に光を当てた17ドルの重要な発見を特定します。
  論文  参考訳（メタデータ） (2023-07-30T21:27:41Z)
• DeepfakeBench: A Comprehensive Benchmark of Deepfake Detection [55.70982767084996]
  ディープフェイク検出の分野で見落とされがちな課題は、標準化され、統一され、包括的なベンチマークがないことである。 DeepfakeBenchと呼ばれる,3つの重要なコントリビューションを提供するディープフェイク検出のための,最初の包括的なベンチマークを提示する。 DeepfakeBenchには15の最先端検出方法、9CLデータセット、一連のDeepfake検出評価プロトコルと分析ツール、包括的な評価ツールが含まれている。
  論文  参考訳（メタデータ） (2023-07-04T01:34:41Z)
• AIBugHunter: A Practical Tool for Predicting, Classifying and Repairing Software Vulnerabilities [27.891905729536372]
  AIBugHunterは、C/C++言語用のMLベースのソフトウェア脆弱性分析ツールで、Visual Studio Codeに統合されている。 本稿では,新たな多目的最適化(MOO)に基づく脆弱性分類手法と,AIBugHunterが脆弱性タイプを正確に識別し,重症度を推定するためのトランスフォーマーに基づく評価手法を提案する。
  論文  参考訳（メタデータ） (2023-05-26T04:21:53Z)
• Differential privacy and robust statistics in high dimensions [49.50869296871643]
  高次元Propose-Test-Release (HPTR) は指数的メカニズム、頑健な統計、Propose-Test-Release メカニズムという3つの重要なコンポーネントの上に構築されている。 本論文では,HPTRが複数のシナリオで最適サンプル複雑性をほぼ達成していることを示す。
  論文  参考訳（メタデータ） (2021-11-12T06:36:40Z)
• Adversarial GLUE: A Multi-Task Benchmark for Robustness Evaluation of Language Models [86.02610674750345]
  AdvGLUE(Adversarial GLUE)は、様々な種類の敵攻撃の下で、現代の大規模言語モデルの脆弱性を調査し評価するための新しいマルチタスクベンチマークである。 GLUEタスクに14の逆攻撃手法を適用してAdvGLUEを構築する。 テストしたすべての言語モデルとロバストなトレーニングメソッドは、AdvGLUEではパフォーマンスが悪く、スコアは明確な精度よりもはるかに遅れています。
  論文  参考訳（メタデータ） (2021-11-04T12:59:55Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。