論文の概要: Detecting Vulnerabilities in Encrypted Software Code while Ensuring Code Privacy
- arxiv url: http://arxiv.org/abs/2501.09191v1
- Date: Wed, 15 Jan 2025 22:39:50 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-01-17 15:11:41.846607
- Title: Detecting Vulnerabilities in Encrypted Software Code while Ensuring Code Privacy
- Title(参考訳): コードのプライバシーを確保しながら、暗号化されたソフトウェアコードの脆弱性を検出する
- Authors: Jorge Martins, David Dantas, Rafael Ramires, Bernardo Ferreira, Ibéria Medeiros,
- Abstract要約: テスト会社は、コードのプライバシが保存されている間、ソフトウェア企業が提供する暗号化されたソフトウェアコード上でコード解析タスクを実行することができる。
このアプローチは静的コード解析と検索可能な対称暗号化を組み合わせたものだ。
インデックスは、秘密の方法で静的解析タスクを実行することで脆弱性を発見するために使用される。
- 参考スコア(独自算出の注目度): 1.6291732599945337
- License:
- Abstract: Software vulnerabilities continue to be the main cause of occurrence for cyber attacks. In an attempt to reduce them and improve software quality, software code analysis has emerged as a service offered by companies specialising in software testing. However, this service requires software companies to provide access to their software's code, which raises concerns about code privacy and intellectual property theft. This paper presents a novel approach to Software Quality and Privacy, in which testing companies can perform code analysis tasks on encrypted software code provided by software companies while code privacy is preserved. The approach combines Static Code Analysis and Searchable Symmetric Encryption in order to process the source code and build an encrypted inverted index that represents its data and control flows. The index is then used to discover vulnerabilities by carrying out static analysis tasks in a confidential way. With this approach, this paper also defines a new research field -- Confidential Code Analysis --, from which other types of code analysis tasks and approaches can be derived. We implemented the approach in a new tool called CoCoA and evaluated it experimentally with synthetic and real PHP web applications. The results show that the tool has similar precision as standard (non-confidential) static analysis tools and a modest average performance overhead of 42.7%.
- Abstract(参考訳): ソフトウェア脆弱性はサイバー攻撃の主な原因であり続けている。
それらの削減とソフトウェア品質の向上を目的として、ソフトウェアテストに特化した企業が提供しているサービスとして、ソフトウェアコード分析が登場した。
しかし、このサービスはソフトウェア企業が自身のソフトウェアのコードにアクセスする必要があるため、コードのプライバシや知的財産権の盗難に対する懸念が高まる。
本稿では,ソフトウェア企業が提供する暗号化されたソフトウェアコードに対して,コードプライバシを保存しながら,テスト会社がコード解析タスクを実行できる,ソフトウェア品質とプライバシの新しいアプローチを提案する。
このアプローチは、ソースコードを処理し、そのデータと制御フローを表す暗号化された反転インデックスを構築するために、静的コード解析と検索可能な対称暗号化を組み合わせる。
インデックスは、秘密の方法で静的解析タスクを実行することで脆弱性を発見するために使用される。
このアプローチでは,他のタイプのコード解析タスクやアプローチを導出することのできる,新たな研究分野であるConfidential Code Analysisも定義する。
我々は,この手法をCoCoAと呼ばれる新しいツールで実装し,合成および実際のPHP Webアプリケーションを用いて実験的に評価した。
その結果、このツールの精度は標準(非機密)の静的解析ツールとよく似ており、平均的なパフォーマンスオーバーヘッドは42.7%であることがわかった。
関連論文リスト
- The Good, the Bad, and the (Un)Usable: A Rapid Literature Review on Privacy as Code [4.479352653343731]
プライバシーとセキュリティは、音声データ保護とサイバーレジリエンス機能を備えた情報システムの設計の中心である。
開発者は、適切なサイバーセキュリティトレーニングを欠いているか、優先事項とは考えていないため、これらのプロパティをソフトウェアプロジェクトに組み込むのに苦労することが多い。
論文 参考訳(メタデータ) (2024-12-21T15:30:17Z) - RedCode: Risky Code Execution and Generation Benchmark for Code Agents [50.81206098588923]
RedCodeはリスクの高いコード実行と生成のためのベンチマークである。
RedCode-Execは、危険なコード実行につながる可能性のある、挑戦的なプロンプトを提供する。
RedCode-Genは160のプロンプトに関数シグネチャとドキュメントを入力として提供し、コードエージェントが命令に従うかどうかを評価する。
論文 参考訳(メタデータ) (2024-11-12T13:30:06Z) - Codev-Bench: How Do LLMs Understand Developer-Centric Code Completion? [60.84912551069379]
Code-Development Benchmark (Codev-Bench)は、細粒度で現実世界、リポジトリレベル、開発者中心の評価フレームワークです。
Codev-Agentは、リポジトリのクローリングを自動化し、実行環境を構築し、既存のユニットテストから動的呼び出しチェーンを抽出し、データ漏洩を避けるために新しいテストサンプルを生成するエージェントベースのシステムである。
論文 参考訳(メタデータ) (2024-10-02T09:11:10Z) - Towards Efficient Verification of Constant-Time Cryptographic
Implementations [5.433710892250037]
一定時間プログラミングの規律は、タイミングサイドチャネル攻撃に対する効果的なソフトウェアベースの対策である。
本研究では, テナント解析の新たな相乗効果と自己構成プログラムの安全性検証に基づく実用的検証手法を提案する。
当社のアプローチはクロスプラットフォームで完全に自動化されたCT-Proverとして実装されている。
論文 参考訳(メタデータ) (2024-02-21T03:39:14Z) - Finding Software Vulnerabilities in Open-Source C Projects via Bounded
Model Checking [2.9129603096077332]
我々は,汎用ソフトウェアシステムの脆弱性を効果的に検出できる境界モデル検査手法を提唱する。
我々は,最先端の有界モデルチェッカーを用いて,大規模ソフトウェアシステムを検証する手法を開発し,評価した。
論文 参考訳(メタデータ) (2023-11-09T11:25:24Z) - Empirical Analysis of Software Vulnerabilities Causing Timing Side
Channels [2.0794749869068005]
本研究では,非暗号ソフトウェアにおけるタイミング攻撃関連脆弱性について検討する。
既知のセキュアなコーディングプラクティスに従わなかったため、タイミングアタック関連の脆弱性の大部分が導入されたことが分かりました。
この研究の結果は、ソフトウェアセキュリティコミュニティがタイミング攻撃に関連する脆弱性の性質と原因に関する証拠に基づく情報を得るのに役立つことが期待されている。
論文 参考訳(メタデータ) (2023-08-23T01:38:03Z) - Using Machine Learning To Identify Software Weaknesses From Software
Requirement Specifications [49.1574468325115]
本研究は、要求仕様からソフトウェア弱点を特定するための効率的な機械学習アルゴリズムを見つけることに焦点を当てる。
ProMISE_exp. Naive Bayes、サポートベクターマシン(SVM)、決定木、ニューラルネットワーク、畳み込みニューラルネットワーク(CNN)アルゴリズムをテストした。
論文 参考訳(メタデータ) (2023-08-10T13:19:10Z) - CodeLMSec Benchmark: Systematically Evaluating and Finding Security
Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。
これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。
この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
論文 参考訳(メタデータ) (2023-02-08T11:54:07Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - Software Vulnerability Detection via Deep Learning over Disaggregated
Code Graph Representation [57.92972327649165]
この研究は、コードコーパスから安全でないパターンを自動的に学習するためのディープラーニングアプローチを探求する。
コードには解析を伴うグラフ構造が自然に認められるため,プログラムの意味的文脈と構造的規則性の両方を利用する新しいグラフニューラルネットワーク(GNN)を開発する。
論文 参考訳(メタデータ) (2021-09-07T21:24:36Z) - A Smart and Defensive Human-Machine Approach to Code Analysis [0.0]
本稿では,仮想アシスタントを用いてプログラマと協調して,ソフトウェアが可能な限り安全であることを保証する手法を提案する。
プロポーズ方式では、様々なメトリクスを使って、プログラマがプロジェクトに適したコード分析ツールを選択するのを助けるレコメンデータシステムを採用している。
論文 参考訳(メタデータ) (2021-08-06T20:42:07Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。