論文の概要: Characterizing JavaScript Security Code Smells
- arxiv url: http://arxiv.org/abs/2411.19358v1
- Date: Thu, 28 Nov 2024 20:07:31 GMT
- ステータス: 翻訳完了
- システム内更新日: 2024-12-02 15:22:33.963961
- Title: Characterizing JavaScript Security Code Smells
- Title(参考訳): JavaScriptのセキュリティコードの臭いを特徴づける
- Authors: Vikas Kambhampati, Nehaz Hussain Mohammed, Amin Milani Fard,
- Abstract要約: セキュリティコードの臭いは、潜在的な脆弱性やセキュリティの弱点を示すコーディングパターンである。
我々は、24のJavaScriptセキュリティコードの臭いのセットを示し、それらを潜在的なセキュリティ意識にマッピングし、検出メカニズムを説明します。
- 参考スコア(独自算出の注目度): 0.0
- License:
- Abstract: JavaScript has been consistently among the most popular programming languages in the past decade. However, its dynamic, weakly-typed, and asynchronous nature can make it challenging to write maintainable code for developers without in-depth knowledge of the language. Consequently, many JavaScript applications tend to contain code smells that adversely influence program comprehension, maintenance, and debugging. Due to the widespread usage of JavaScript, code security is an important matter. While JavaScript code smells and detection techniques have been studied in the past, current work on security smells for JavaScript is scarce. Security code smells are coding patterns indicative of potential vulnerabilities or security weaknesses. Identifying security code smells can help developers to focus on areas where additional security measures may be needed. We present a set of 24 JavaScript security code smells, map them to a possible security awareness defined by Common Weakness Enumeration (CWE), explain possible refactoring, and explain our detection mechanism. We implement our security code smell detection on top of an existing open source tool that was proposed to detect general code smells in JavaScript.
- Abstract(参考訳): JavaScriptは、ここ10年でもっとも人気のあるプログラミング言語の1つです。
しかし、その動的で弱い型付けと非同期性は、言語に関する深い知識を必要とせずに、開発者に保守可能なコードを書くことを困難にしている。
その結果、多くのJavaScriptアプリケーションは、プログラムの理解、保守、デバッグに悪影響を及ぼすコードの臭いを含む傾向にある。
JavaScriptが広く使われているため、コードのセキュリティは重要な問題である。
JavaScriptコードの臭いと検出技術は過去に研究されているが、JavaScriptのセキュリティの臭いに関する現在の研究は少ない。
セキュリティコードの臭いは、潜在的な脆弱性やセキュリティの弱点を示すコーディングパターンである。
セキュリティコードの臭いを識別することは、開発者がさらなるセキュリティ対策が必要な領域に集中するのに役立ちます。
我々は、24のJavaScriptセキュリティコードの臭いのセットを示し、それらをCommon Weakness Enumeration (CWE)によって定義されたセキュリティ意識にマッピングし、リファクタリングの可能性を説明し、検出メカニズムを説明します。
我々は、JavaScriptの一般的なコードの臭いを検出するために提案された既存のオープンソースツールの上に、セキュリティコードの臭い検出を実装しました。
関連論文リスト
- RedCode: Risky Code Execution and Generation Benchmark for Code Agents [50.81206098588923]
RedCodeはリスクの高いコード実行と生成のためのベンチマークである。
RedCode-Execは、危険なコード実行につながる可能性のある、挑戦的なプロンプトを提供する。
RedCode-Genは160のプロンプトに関数シグネチャとドキュメントを入力として提供し、コードエージェントが命令に従うかどうかを評価する。
論文 参考訳(メタデータ) (2024-11-12T13:30:06Z) - Understanding Code Understandability Improvements in Code Reviews [79.16476505761582]
GitHub上のJavaオープンソースプロジェクトからの2,401のコードレビューコメントを分析した。
改善提案の83.9%が承認され、統合され、1%未満が後に復活した。
論文 参考訳(メタデータ) (2024-10-29T12:21:23Z) - FV8: A Forced Execution JavaScript Engine for Detecting Evasive Techniques [53.288368877654705]
FV8はJavaScriptコードの回避テクニックを特定するために設計された修正V8 JavaScriptエンジンである。
動的コードを条件付きで注入するAPI上でのコード実行を選択的に実施する。
1,443のnpmパッケージと、少なくとも1つのタイプのエスケープを含む164の(82%)拡張を識別する。
論文 参考訳(メタデータ) (2024-05-21T19:54:19Z) - Where do developers admit their security-related concerns? [0.8180494308743708]
産業環境で4つの大規模、現実世界、オープンソースプロジェクトから、さまざまなコードドキュメンテーションのソースを分析しました。
開発者がソースコードコメントやイシュートラッカにセキュリティ上の懸念を文書化するのを好むことがわかりました。
論文 参考訳(メタデータ) (2024-05-17T16:43:58Z) - An Investigation into Misuse of Java Security APIs by Large Language Models [9.453671056356837]
本稿では,Java のセキュリティ API ユースケースに対する ChatGPT のコード生成に対する信頼性を体系的に評価する。
タスク毎に30の試行にまたがるコードインスタンスの約70%には、セキュリティAPIの誤用が含まれており、20の異なる誤用タイプが識別されている。
約半数のタスクにおいて、この割合は100%に達し、開発者がセキュリティAPIコードを安全に実装するためにChatGPTに頼るまでには長い道のりがあることを示している。
論文 参考訳(メタデータ) (2024-04-04T22:52:41Z) - Just another copy and paste? Comparing the security vulnerabilities of ChatGPT generated code and StackOverflow answers [4.320393382724067]
この研究は、ChatGPTとStackOverflowスニペットの脆弱性を実証的に比較する。
ChatGPTはSOスニペットにある302の脆弱性と比較して248の脆弱性を含んでおり、統計的に有意な差のある20%の脆弱性を生み出した。
この結果から,両プラットフォーム間の安全性の低いコード伝搬について,開発者が教育を受けていないことが示唆された。
論文 参考訳(メタデータ) (2024-03-22T20:06:41Z) - A Study of Vulnerability Repair in JavaScript Programs with Large Language Models [2.4622939109173885]
大規模言語モデル(LLM)は、複数のドメインにまたがる大幅な進歩を示している。
実世界のソフトウェア脆弱性に関する我々の実験によると、LLMはJavaScriptコードの自動プログラム修復において有望であるが、正しいバグ修正を達成するには、しばしばプロンプトで適切なコンテキストを必要とする。
論文 参考訳(メタデータ) (2024-03-19T23:04:03Z) - CodeAttack: Revealing Safety Generalization Challenges of Large Language Models via Code Completion [117.178835165855]
本稿では,自然言語入力をコード入力に変換するフレームワークであるCodeAttackを紹介する。
我々の研究は、コード入力に対するこれらのモデルの新たな、普遍的な安全性の脆弱性を明らかにした。
CodeAttackと自然言語の分布ギャップが大きくなると、安全性の一般化が弱くなる。
論文 参考訳(メタデータ) (2024-03-12T17:55:38Z) - Toward Effective Secure Code Reviews: An Empirical Study of Security-Related Coding Weaknesses [14.134803943492345]
我々は OpenSSL と PHP の2つの大規模オープンソースプロジェクトで実証的なケーススタディを行った。
135,560のコードレビューコメントに基づいて、40のコーディング弱点カテゴリのうち35に、レビュー担当者がセキュリティ上の懸念を提起していることが分かりました。
メモリエラーやリソース管理といった過去の脆弱性に関連するコーディングの弱点は、脆弱性よりも少ない頻度で議論された。
論文 参考訳(メタデータ) (2023-11-28T00:49:00Z) - CodeLMSec Benchmark: Systematically Evaluating and Finding Security
Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。
これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。
この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
論文 参考訳(メタデータ) (2023-02-08T11:54:07Z) - Contrastive Code Representation Learning [95.86686147053958]
一般的な再構成に基づくBERTモデルは,ソースコードの編集に敏感であることを示す。
コントラコード(ContraCode)は、コード機能を学ぶのにフォームではなく、コントラスト的な事前学習タスクである。
論文 参考訳(メタデータ) (2020-07-09T17:59:06Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。