論文の概要: Protect Your Secrets: Understanding and Measuring Data Exposure in VSCode Extensions

• arxiv url: http://arxiv.org/abs/2412.00707v2
• Date: Wed, 25 Dec 2024 06:49:44 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-12-30 17:23:58.392822
• Title: Protect Your Secrets: Understanding and Measuring Data Exposure in VSCode Extensions
• Title（参考訳）: シークレットを保護する: VSCode エクステンションにおけるデータ公開の理解と測定
• Authors: Yue Liu, Chakkrit Tantithamthavorn, Li Li,
• Abstract要約: Visual Studio Code(VSCode)におけるクロスエクステンションインタラクションのセキュリティ問題について検討する。 我々の研究は、敵が秘密裏にクレデンシャル関連のデータを入手したり、操作したりできるような、インパクトの高いセキュリティ上の欠陥を発見しました。 当社のツールを現実世界のVSCodeエクステンション27,261に適用することにより、その8.5%がクレデンシャル関連のデータ漏洩にさらされていることが分かりました。
• 参考スコア（独自算出の注目度）: 14.381954681512644
• License:
• Abstract: Recent years have witnessed the emerging trend of extensions in modern Integrated Development Environments (IDEs) like Visual Studio Code (VSCode) that significantly enhance developer productivity. Especially, popular AI coding assistants like GitHub Copilot and Tabnine provide conveniences like automated code completion and debugging. While these extensions offer numerous benefits, they may introduce privacy and security concerns to software developers. However, there is no existing work that systematically analyzes the security and privacy concerns, including the risks of data exposure in VSCode extensions. In this paper, we investigate on the security issues of cross-extension interactions in VSCode and shed light on the vulnerabilities caused by data exposure among different extensions. Our study uncovers high-impact security flaws that could allow adversaries to stealthily acquire or manipulate credential-related data (e.g., passwords, API keys, access tokens) from other extensions if not properly handled by extension vendors. To measure their prevalence, we design a novel automated risk detection framework that leverages program analysis and natural language processing techniques to automatically identify potential risks in VSCode extensions. By applying our tool to 27,261 real-world VSCode extensions, we discover that 8.5% of them (i.e., 2,325 extensions) are exposed to credential-related data leakage through various vectors, such as commands, user input, and configurations. Our study sheds light on the security challenges and flaws of the extension-in-IDE paradigm and provides suggestions and recommendations for improving the security of VSCode extensions and mitigating the risks of data exposure.
• Abstract（参考訳）: 近年、Visual Studio Code (VSCode)のようなモダンな統合開発環境(IDE)における、開発者の生産性を大幅に向上させる拡張機能の出現傾向が見られた。 特に、GitHub CopilotやTabnineのような人気のあるAIコーディングアシスタントは、自動コード補完やデバッグのような便利な機能を提供する。 これらの拡張機能には多くのメリットがあるが、ソフトウェア開発者にプライバシとセキュリティ上の懸念をもたらす可能性がある。 しかし、VSCode拡張機能におけるデータ露出のリスクを含む、セキュリティとプライバシの懸念を体系的に分析する既存の作業は存在しない。 本稿では,VSCodeにおけるクロスエクステンションインタラクションのセキュリティ問題について検討し,異なる拡張間のデータ露光による脆弱性に光を当てる。 当社の研究では,拡張ベンダが適切に扱わなければ,認証関連データ(パスワード,APIキー,アクセストークンなど)を秘密裏に取得あるいは操作することが可能な,インパクトの高いセキュリティ欠陥が明らかになった。 プログラム解析と自然言語処理技術を利用してVSCodeエクステンションの潜在的なリスクを自動的に識別する新しい自動リスク検出フレームワークを設計する。 27,261の現実世界のVSCodeエクステンションにツールを適用することで、コマンドやユーザ入力、コンフィギュレーションなどのさまざまなベクタを通じて、その8.5%(2,325拡張)がクレデンシャル関連のデータ漏洩にさらされていることが分かりました。 本研究は,VSCode拡張のセキュリティ向上とデータ露出のリスク軽減のための提案とレコメンデーションを提供する。

関連論文リスト

• RedCode: Risky Code Execution and Generation Benchmark for Code Agents [50.81206098588923]
  RedCodeはリスクの高いコード実行と生成のためのベンチマークである。 RedCode-Execは、危険なコード実行につながる可能性のある、挑戦的なプロンプトを提供する。 RedCode-Genは160のプロンプトに関数シグネチャとドキュメントを入力として提供し、コードエージェントが命令に従うかどうかを評価する。
  論文  参考訳（メタデータ） (2024-11-12T13:30:06Z)
• Developers Are Victims Too : A Comprehensive Analysis of The VS Code Extension Ecosystem [2.6912894078100282]
  私たちは、開発者、コード、開発組織に対する脅威を理解するために、52,880のサードパーティのVS Codeエクステンションを分析しました。 分析対象のエクステンションの5.6%が不審な動作をしており,開発環境の整合性を損なうとともに,開発者の製品に関する機密情報を漏洩させる可能性があることがわかった。
  論文  参考訳（メタデータ） (2024-11-12T01:52:25Z)
• Enhancing Reverse Engineering: Investigating and Benchmarking Large Language Models for Vulnerability Analysis in Decompiled Binaries [2.696054049278301]
  新しくコンパイルされたバイナリコード脆弱性データセットであるDeBinVulを紹介します。 DeBinVulを使って最先端のLLMを微調整し、バイナリコード脆弱性の検出においてパフォーマンスが19%、24%、21%向上したことを報告します。
  論文  参考訳（メタデータ） (2024-11-07T18:54:31Z)
• HexaCoder: Secure Code Generation via Oracle-Guided Synthetic Training Data [60.75578581719921]
  大規模言語モデル(LLM)は、自動コード生成に大きな可能性を示している。 最近の研究は、多くのLLM生成コードが深刻なセキュリティ脆弱性を含んでいることを強調している。 我々は,LLMがセキュアなコードを生成する能力を高めるための新しいアプローチであるHexaCoderを紹介する。
  論文  参考訳（メタデータ） (2024-09-10T12:01:43Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• Unintentional Security Flaws in Code: Automated Defense via Root Cause Analysis [2.899501205987888]
  我々はT5-RCGCNと呼ばれる自動脆弱性根本原因(RC)ツールキットを開発した。 T5言語モデルの埋め込みと、脆弱性分類とローカライゼーションのためのグラフ畳み込みネットワーク(GCN)を組み合わせる。 3つのデータセットで56人のジュニア開発者を対象に、T5-RCGCNをテストしました。
  論文  参考訳（メタデータ） (2024-08-30T18:26:59Z)
• Is Your AI-Generated Code Really Safe? Evaluating Large Language Models on Secure Code Generation with CodeSecEval [20.959848710829878]
  大規模言語モデル(LLM)は、コード生成とコード修復に大きな進歩をもたらした。 しかし、GitHubのようなオープンソースのリポジトリから無防備なデータを使用したトレーニングは、セキュリティ上の脆弱性を必然的に伝播するリスクを増大させる。 我々は,コードLLMのセキュリティ面を正確に評価し,拡張することを目的とした総合的研究を提案する。
  論文  参考訳（メタデータ） (2024-07-02T16:13:21Z)
• CodeAttack: Revealing Safety Generalization Challenges of Large Language Models via Code Completion [117.178835165855]
  本稿では,自然言語入力をコード入力に変換するフレームワークであるCodeAttackを紹介する。 我々の研究は、コード入力に対するこれらのモデルの新たな、普遍的な安全性の脆弱性を明らかにした。 CodeAttackと自然言語の分布ギャップが大きくなると、安全性の一般化が弱くなる。
  論文  参考訳（メタデータ） (2024-03-12T17:55:38Z)
• LLM-Powered Code Vulnerability Repair with Reinforcement Learning and Semantic Reward [3.729516018513228]
  我々は,大規模な言語モデルであるCodeGen2を利用した多目的コード脆弱性解析システム texttSecRepair を導入する。 そこで本研究では,LLMを用いた脆弱性解析に適した命令ベースデータセットを提案する。 GitHub上の6つのオープンソースIoTオペレーティングシステムにおいて、ゼロデイとNデイの脆弱性を特定します。
  論文  参考訳（メタデータ） (2024-01-07T02:46:39Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)
• Not what you've signed up for: Compromising Real-World LLM-Integrated Applications with Indirect Prompt Injection [64.67495502772866]
  大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。 本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。 我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
  論文  参考訳（メタデータ） (2023-02-23T17:14:38Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。