論文の概要: Detecting Vulnerabilities in Encrypted Software Code while Ensuring Code Privacy
- arxiv url: http://arxiv.org/abs/2501.09191v1
- Date: Wed, 15 Jan 2025 22:39:50 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-01-17 16:36:32.102604
- Title: Detecting Vulnerabilities in Encrypted Software Code while Ensuring Code Privacy
- Title(参考訳): コードのプライバシーを確保しながら、暗号化されたソフトウェアコードの脆弱性を検出する
- Authors: Jorge Martins, David Dantas, Rafael Ramires, Bernardo Ferreira, Ibéria Medeiros,
- Abstract要約: テスト会社は、コードのプライバシが保存されている間、ソフトウェア企業が提供する暗号化されたソフトウェアコード上でコード解析タスクを実行することができる。
このアプローチは静的コード解析と検索可能な対称暗号化を組み合わせたものだ。
インデックスは、秘密の方法で静的解析タスクを実行することで脆弱性を発見するために使用される。
- 参考スコア(独自算出の注目度): 1.6291732599945337
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Software vulnerabilities continue to be the main cause of occurrence for cyber attacks. In an attempt to reduce them and improve software quality, software code analysis has emerged as a service offered by companies specialising in software testing. However, this service requires software companies to provide access to their software's code, which raises concerns about code privacy and intellectual property theft. This paper presents a novel approach to Software Quality and Privacy, in which testing companies can perform code analysis tasks on encrypted software code provided by software companies while code privacy is preserved. The approach combines Static Code Analysis and Searchable Symmetric Encryption in order to process the source code and build an encrypted inverted index that represents its data and control flows. The index is then used to discover vulnerabilities by carrying out static analysis tasks in a confidential way. With this approach, this paper also defines a new research field -- Confidential Code Analysis --, from which other types of code analysis tasks and approaches can be derived. We implemented the approach in a new tool called CoCoA and evaluated it experimentally with synthetic and real PHP web applications. The results show that the tool has similar precision as standard (non-confidential) static analysis tools and a modest average performance overhead of 42.7%.
- Abstract(参考訳): ソフトウェア脆弱性はサイバー攻撃の主な原因であり続けている。
それらの削減とソフトウェア品質の向上を目的として、ソフトウェアテストに特化した企業が提供しているサービスとして、ソフトウェアコード分析が登場した。
しかし、このサービスはソフトウェア企業が自身のソフトウェアのコードにアクセスする必要があるため、コードのプライバシや知的財産権の盗難に対する懸念が高まる。
本稿では,ソフトウェア企業が提供する暗号化されたソフトウェアコードに対して,コードプライバシを保存しながら,テスト会社がコード解析タスクを実行できる,ソフトウェア品質とプライバシの新しいアプローチを提案する。
このアプローチは、ソースコードを処理し、そのデータと制御フローを表す暗号化された反転インデックスを構築するために、静的コード解析と検索可能な対称暗号化を組み合わせる。
インデックスは、秘密の方法で静的解析タスクを実行することで脆弱性を発見するために使用される。
このアプローチでは,他のタイプのコード解析タスクやアプローチを導出することのできる,新たな研究分野であるConfidential Code Analysisも定義する。
我々は,この手法をCoCoAと呼ばれる新しいツールで実装し,合成および実際のPHP Webアプリケーションを用いて実験的に評価した。
その結果、このツールの精度は標準(非機密)の静的解析ツールとよく似ており、平均的なパフォーマンスオーバーヘッドは42.7%であることがわかった。
関連論文リスト
- Improving Automated Secure Code Reviews: A Synthetic Dataset for Code Vulnerability Flaws [0.0]
本稿では,セキュリティ欠陥について特にコメントする脆弱性中心のレビューからなる合成データセットの作成を提案する。
弊社のアプローチでは,Large Language Models(LLMs)を利用して,脆弱性に対する人間的なコードレビューコメントを生成する。
論文 参考訳(メタデータ) (2025-04-22T23:07:24Z) - A Comprehensive Study of LLM Secure Code Generation [19.82291066720634]
これまでの研究は主に、生成されたコードの脆弱性を検出するために、単一の静的アナライザであるCodeQLに依存していた。
セキュリティ検査と機能検証の両方を同一生成コードに適用し、これら2つの側面をまとめて評価する。
我々の研究は、既存の技術が多くの場合、生成したコードの機能を損なうことにより、セキュリティが向上することを示した。
論文 参考訳(メタデータ) (2025-03-18T20:12:50Z) - The Good, the Bad, and the (Un)Usable: A Rapid Literature Review on Privacy as Code [4.479352653343731]
プライバシーとセキュリティは、音声データ保護とサイバーレジリエンス機能を備えた情報システムの設計の中心である。
開発者は、適切なサイバーセキュリティトレーニングを欠いているか、優先事項とは考えていないため、これらのプロパティをソフトウェアプロジェクトに組み込むのに苦労することが多い。
論文 参考訳(メタデータ) (2024-12-21T15:30:17Z) - RedCode: Risky Code Execution and Generation Benchmark for Code Agents [50.81206098588923]
RedCodeはリスクの高いコード実行と生成のためのベンチマークである。
RedCode-Execは、危険なコード実行につながる可能性のある、挑戦的なプロンプトを提供する。
RedCode-Genは160のプロンプトに関数シグネチャとドキュメントを入力として提供し、コードエージェントが命令に従うかどうかを評価する。
論文 参考訳(メタデータ) (2024-11-12T13:30:06Z) - Codev-Bench: How Do LLMs Understand Developer-Centric Code Completion? [60.84912551069379]
Code-Development Benchmark (Codev-Bench)は、細粒度で現実世界、リポジトリレベル、開発者中心の評価フレームワークです。
Codev-Agentは、リポジトリのクローリングを自動化し、実行環境を構築し、既存のユニットテストから動的呼び出しチェーンを抽出し、データ漏洩を避けるために新しいテストサンプルを生成するエージェントベースのシステムである。
論文 参考訳(メタデータ) (2024-10-02T09:11:10Z) - LLMs in Web Development: Evaluating LLM-Generated PHP Code Unveiling Vulnerabilities and Limitations [0.0]
本研究では,大規模言語モデルが生成するWebアプリケーションのセキュリティを評価し,2500 GPT-4生成PHP Webサイトを分析した。
本研究は,GPT-4 生成 PHP コード中の Insecure File Upload,sql Injection, Stored XSS, Reflected XSS の同定に重点を置いている。
BurpのScanによると、サイトの11.56%は、すぐに妥協できる。静的スキャンの結果が加わった26%には、Webインタラクションを通じて悪用できる少なくとも1つの脆弱性があった。
論文 参考訳(メタデータ) (2024-04-21T20:56:02Z) - Towards Efficient Verification of Constant-Time Cryptographic
Implementations [5.433710892250037]
一定時間プログラミングの規律は、タイミングサイドチャネル攻撃に対する効果的なソフトウェアベースの対策である。
本研究では, テナント解析の新たな相乗効果と自己構成プログラムの安全性検証に基づく実用的検証手法を提案する。
当社のアプローチはクロスプラットフォームで完全に自動化されたCT-Proverとして実装されている。
論文 参考訳(メタデータ) (2024-02-21T03:39:14Z) - Using Machine Learning To Identify Software Weaknesses From Software
Requirement Specifications [49.1574468325115]
本研究は、要求仕様からソフトウェア弱点を特定するための効率的な機械学習アルゴリズムを見つけることに焦点を当てる。
ProMISE_exp. Naive Bayes、サポートベクターマシン(SVM)、決定木、ニューラルネットワーク、畳み込みニューラルネットワーク(CNN)アルゴリズムをテストした。
論文 参考訳(メタデータ) (2023-08-10T13:19:10Z) - SecureFalcon: Are We There Yet in Automated Software Vulnerability Detection with LLMs? [3.566250952750758]
SecureFalconは、Falcon-40Bモデルから派生した1億1100万のパラメータしか持たない革新的なモデルアーキテクチャである。
SecureFalconはバイナリ分類で94%の精度、マルチクラス化で最大92%、即時CPU推論時間を実現している。
論文 参考訳(メタデータ) (2023-07-13T08:34:09Z) - CodeLMSec Benchmark: Systematically Evaluating and Finding Security
Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。
これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。
この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
論文 参考訳(メタデータ) (2023-02-08T11:54:07Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - Software Vulnerability Detection via Deep Learning over Disaggregated
Code Graph Representation [57.92972327649165]
この研究は、コードコーパスから安全でないパターンを自動的に学習するためのディープラーニングアプローチを探求する。
コードには解析を伴うグラフ構造が自然に認められるため,プログラムの意味的文脈と構造的規則性の両方を利用する新しいグラフニューラルネットワーク(GNN)を開発する。
論文 参考訳(メタデータ) (2021-09-07T21:24:36Z) - A Smart and Defensive Human-Machine Approach to Code Analysis [0.0]
本稿では,仮想アシスタントを用いてプログラマと協調して,ソフトウェアが可能な限り安全であることを保証する手法を提案する。
プロポーズ方式では、様々なメトリクスを使って、プログラマがプロジェクトに適したコード分析ツールを選択するのを助けるレコメンデータシステムを採用している。
論文 参考訳(メタデータ) (2021-08-06T20:42:07Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。