論文の概要: Developers Are Victims Too : A Comprehensive Analysis of The VS Code Extension Ecosystem

• arxiv url: http://arxiv.org/abs/2411.07479v1
• Date: Tue, 12 Nov 2024 01:52:25 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-11-13 13:19:04.668110
• Title: Developers Are Victims Too : A Comprehensive Analysis of The VS Code Extension Ecosystem
• Title（参考訳）: 開発者も被害者である : VS Code拡張エコシステムの包括的分析
• Authors: Shehan Edirimannage, Charitha Elvitigala, Asitha Kottahachchi Kankanamge Don, Wathsara Daluwatta, Primal Wijesekara, Ibrahim Khalil,
• Abstract要約: 私たちは、開発者、コード、開発組織に対する脅威を理解するために、52,880のサードパーティのVS Codeエクステンションを分析しました。 分析対象のエクステンションの5.6%が不審な動作をしており,開発環境の整合性を損なうとともに,開発者の製品に関する機密情報を漏洩させる可能性があることがわかった。
• 参考スコア（独自算出の注目度）: 2.6912894078100282
• License:
• Abstract: With the wave of high-profile supply chain attacks targeting development and client organizations, supply chain security has recently become a focal point. As a result, there is an elevated discussion on securing the development environment and increasing the transparency of the third-party code that runs in software products to minimize any negative impact from third-party code in a software product. However, the literature on secure software development lacks insight into how the third-party development tools used by every developer affect the security posture of the developer, the development organization, and, eventually, the end product. To that end, we have analyzed 52,880 third-party VS Code extensions to understand their threat to the developer, the code, and the development organizations. We found that ~5.6\% of the analyzed extensions have suspicious behavior, jeopardizing the integrity of the development environment and potentially leaking sensitive information on the developer's product. We also found that the VS Code hosting the third-party extensions lacks practical security controls and lets untrusted third-party code run unchecked and with questionable capabilities. We offer recommendations on possible avenues for fixing some of the issues uncovered during the analysis.
• Abstract（参考訳）: 開発や顧客組織をターゲットとするサプライチェーン攻撃が盛んになり、サプライチェーンのセキュリティが焦点となっている。 その結果、開発環境の確保と、ソフトウェア製品におけるサードパーティコードからのネガティブな影響を最小限に抑えるために、ソフトウェア製品で実行されるサードパーティコードの透明性向上に関する議論が活発化している。 しかしながら、セキュアなソフトウェア開発に関する文献には、すべての開発者が使用するサードパーティの開発ツールが、開発者や開発組織、そして最終的には製品に対するセキュリティ姿勢にどのように影響するかについての洞察が欠けている。 そのために、52,880のサードパーティのVS Codeエクステンションを分析して、開発者やコード、開発組織に対する脅威を理解しました。 分析対象のエクステンションの約5.6\%が不審な振る舞いをしており、開発環境の整合性を脅かし、開発者の製品に関する機密情報を漏らす可能性があることがわかった。 また、サードパーティのエクステンションをホストするVS Codeには、実用的なセキュリティコントロールがなく、信頼できないサードパーティのコードが未確認で、疑わしい機能で実行されることもわかりました。 分析中に明らかになった問題のいくつかを修正するための道のりについて提案する。

関連論文リスト

• Seeker: Enhancing Exception Handling in Code with LLM-based Multi-Agent Approach [54.03528377384397]
  現実世界のソフトウェア開発では、不適切な例外処理がコードの堅牢性と信頼性に重大な影響を与えます。 コードにおける例外処理を改善するために,大規模言語モデル (LLM) の利用について検討する。 例外処理のエキスパート開発者戦略にインスパイアされたマルチエージェントフレームワークであるSeekerを提案する。
  論文  参考訳（メタデータ） (2024-10-09T14:45:45Z)
• Codev-Bench: How Do LLMs Understand Developer-Centric Code Completion? [60.84912551069379]
  Code-Development Benchmark (Codev-Bench)は、細粒度で現実世界、リポジトリレベル、開発者中心の評価フレームワークです。 Codev-Agentは、リポジトリのクローリングを自動化し、実行環境を構築し、既存のユニットテストから動的呼び出しチェーンを抽出し、データ漏洩を避けるために新しいテストサンプルを生成するエージェントベースのシステムである。
  論文  参考訳（メタデータ） (2024-10-02T09:11:10Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• Unintentional Security Flaws in Code: Automated Defense via Root Cause Analysis [2.899501205987888]
  我々はT5-RCGCNと呼ばれる自動脆弱性根本原因(RC)ツールキットを開発した。 T5言語モデルの埋め込みと、脆弱性分類とローカライゼーションのためのグラフ畳み込みネットワーク(GCN)を組み合わせる。 3つのデータセットで56人のジュニア開発者を対象に、T5-RCGCNをテストしました。
  論文  参考訳（メタデータ） (2024-08-30T18:26:59Z)
• Agent-Driven Automatic Software Improvement [55.2480439325792]
  本提案は,Large Language Models (LLMs) を利用したエージェントの展開に着目して,革新的なソリューションの探求を目的とする。 継続的学習と適応を可能にするエージェントの反復的性質は、コード生成における一般的な課題を克服するのに役立ちます。 我々は,これらのシステムにおける反復的なフィードバックを用いて,エージェントの基盤となるLLMをさらに微調整し,自動化されたソフトウェア改善のタスクに整合性を持たせることを目指している。
  論文  参考訳（メタデータ） (2024-06-24T15:45:22Z)
• INDICT: Code Generation with Internal Dialogues of Critiques for Both Security and Helpfulness [110.6921470281479]
  INDICTは、安全性と有用性の両方のガイダンスのために、批評家の内的対話で大きな言語モデルを強化する新しいフレームワークである。 内部対話は、安全主導の批評家と役に立つ主導の批評家の二重協調システムである。 提案手法は,安全性と有用性解析の両面において,高度な批判のレベルを提供し,出力コードの品質を著しく向上させる。
  論文  参考訳（メタデータ） (2024-06-23T15:55:07Z)
• A Survey of Third-Party Library Security Research in Application Software [3.280510821619164]
  サードパーティのライブラリが広く使われるようになると、関連するセキュリティリスクと潜在的な脆弱性がますます顕在化している。 悪意のある攻撃者は、これらの脆弱性を利用してシステムに侵入したり、不正な操作を行ったり、機密情報を盗んだりすることができる。 ソフトウェアにおけるサードパーティのライブラリの研究は、この増大するセキュリティ問題に対処する上で、最重要課題となる。
  論文  参考訳（メタデータ） (2024-04-27T16:35:02Z)
• LLM-Powered Code Vulnerability Repair with Reinforcement Learning and Semantic Reward [3.729516018513228]
  我々は,大規模な言語モデルであるCodeGen2を利用した多目的コード脆弱性解析システム texttSecRepair を導入する。 そこで本研究では,LLMを用いた脆弱性解析に適した命令ベースデータセットを提案する。 GitHub上の6つのオープンソースIoTオペレーティングシステムにおいて、ゼロデイとNデイの脆弱性を特定します。
  論文  参考訳（メタデータ） (2024-01-07T02:46:39Z)
• Developing Hands-on Labs for Source Code Vulnerability Detection with AI [0.0]
  我々は、将来のIT専門家をセキュアなプログラミングの習慣へと導くために、モジュールの学習と実験室への手引きを含むフレームワークを提案する。 このテーマは、ソースコードとログファイル分析ツールを使用して、セキュアなプログラミングプラクティスを学生に紹介するラボで、学習モジュールを設計することを目的としています。
  論文  参考訳（メタデータ） (2023-02-01T20:53:58Z)
• Predicting Vulnerability In Large Codebases With Deep Code Representation [6.357681017646283]
  ソフトウェアエンジニアは様々なモジュールのコードを書きます。 過去に(異なるモジュールで)修正された同様の問題やバグも、本番コードで再び導入される傾向にある。 ソースコードから生成した抽象構文木(AST)の深部表現とアクティブフィードバックループを用いた,AIに基づく新しいシステムを開発した。
  論文  参考訳（メタデータ） (2020-04-24T13:18:35Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。