論文の概要: RiskHarvester: A Risk-based Tool to Prioritize Secret Removal Efforts in Software Artifacts

• arxiv url: http://arxiv.org/abs/2502.01020v1
• Date: Mon, 03 Feb 2025 03:32:12 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-02-05 15:04:49.378474
• Title: RiskHarvester: A Risk-based Tool to Prioritize Secret Removal Efforts in Software Artifacts
• Title（参考訳）: RiskHarvester: ソフトウェアアーチファクトのシークレット削除を優先するリスクベースのツール
• Authors: Setu Kumar Basak, Tanmay Pardeshi, Bradley Reaves, Laurie Williams,
• Abstract要約: 2020年以降、GitGuardianはGitHubリポジトリのチェックインされたハードコードシークレットを検出している。 2020-2023年の間に、GitGuardianはハードコードされたシークレットが4倍に増加し、2023年には1280万が公開された。 RiskHarvesterは、資産の価値とデータベースに対する攻撃の容易さに基づいて、セキュリティリスクスコアを計算するリスクベースのツールである。
• 参考スコア（独自算出の注目度）: 5.432601851190413
• License:
• Abstract: Since 2020, GitGuardian has been detecting checked-in hard-coded secrets in GitHub repositories. During 2020-2023, GitGuardian has observed an upward annual trend and a four-fold increase in hard-coded secrets, with 12.8 million exposed in 2023. However, removing all the secrets from software artifacts is not feasible due to time constraints and technical challenges. Additionally, the security risks of the secrets are not equal, protecting assets ranging from obsolete databases to sensitive medical data. Thus, secret removal should be prioritized by security risk reduction, which existing secret detection tools do not support. The goal of this research is to aid software practitioners in prioritizing secrets removal efforts through our security risk-based tool. We present RiskHarvester, a risk-based tool to compute a security risk score based on the value of the asset and ease of attack on a database. We calculated the value of asset by identifying the sensitive data categories present in a database from the database keywords in the source code. We utilized data flow analysis, SQL, and ORM parsing to identify the database keywords. To calculate the ease of attack, we utilized passive network analysis to retrieve the database host information. To evaluate RiskHarvester, we curated RiskBench, a benchmark of 1,791 database secret-asset pairs with sensitive data categories and host information manually retrieved from 188 GitHub repositories. RiskHarvester demonstrates precision of (95%) and recall (90%) in detecting database keywords for the value of asset and precision of (96%) and recall (94%) in detecting valid hosts for ease of attack. Finally, we conducted a survey (52 respondents) to understand whether developers prioritize secret removal based on security risk score. We found that 86% of the developers prioritized the secrets for removal with descending security risk scores.
• Abstract（参考訳）: 2020年以降、GitGuardianはGitHubリポジトリのチェックインされたハードコードシークレットを検出している。 2020-2023年、GitGuardianは年次トレンドの上昇とハードコードされたシークレットの4倍の増加を観察し、2023年には1280万が公開された。 しかしながら、ソフトウェアアーティファクトからすべての秘密を取り除くことは、時間的制約と技術的な課題のために実現不可能である。 さらに、機密情報のセキュリティリスクは等しくなく、古くなったデータベースから機密医療データまで幅広い資産を保護する。 したがって、既存のシークレット検出ツールがサポートしていないセキュリティリスク低減によって、シークレット削除が優先されるべきである。 本研究の目的は,ソフトウェア実践者がセキュリティリスクベースのツールを通じて,シークレット削除作業の優先順位付けを支援することにある。 RiskHarvesterは、資産の価値とデータベースに対する攻撃の容易さに基づいて、セキュリティリスクスコアを計算するリスクベースのツールである。 ソースコード中のデータベースキーワードからデータベースに存在するセンシティブなデータカテゴリを同定し,資産の価値を算出した。 データフロー分析、SQL、ORM解析を利用してデータベースのキーワードを特定しました。 攻撃の容易性を計算するために,受動的ネットワーク解析を用いてデータベースホスト情報を検索した。 RiskHarvesterを評価するために、我々は188のGitHubリポジトリから手作業で取得した機密データカテゴリとホスト情報を備えた1,791のデータベースシークレットアセスメントペアのベンチマークであるR RiskBenchをキュレートした。 RiskHarvesterは、アセットの値に対するデータベースキーワードの精度(95%)とリコール(90%)、アセットの値に対する精度(96%)とリコール(94%)、アタックの容易性に対する有効なホストの検出を実証している。 最後に,セキュリティリスクスコアに基づいて,開発者がシークレット削除を優先するかどうかを調査(52名)した。 開発者の86%が、セキュリティリスクスコアを下方修正して、シークレットの削除を優先していることに気付きました。

関連論文リスト

• IDU-Detector: A Synergistic Framework for Robust Masquerader Attack Detection [3.3821216642235608]
  デジタル時代には、ユーザは個人データを企業データベースに格納し、データセキュリティを企業管理の中心とする。 大規模な攻撃面を考えると、アセットは弱い認証、脆弱性、マルウェアといった課題に直面している。 IDU-Detectorを導入し、侵入検知システム(IDS)とユーザ・エンティティ・ビヘイビア・アナリティクス(UEBA)を統合した。 この統合は、不正アクセスを監視し、システムギャップをブリッジし、継続的な監視を保証し、脅威識別を強化する。
  論文  参考訳（メタデータ） (2024-11-09T13:03:29Z)
• Secret Breach Prevention in Software Issue Reports [2.8747015994080285]
  本稿では,ソフトウェア問題報告における秘密漏洩検出のための新しい手法を提案する。 ログファイル、URL、コミットID、スタックトレース、ダミーパスワードなど、ノイズによって引き起こされる課題を強調します。 本稿では,最先端技術の強みと言語モデルの文脈的理解を組み合わせたアプローチを提案する。
  論文  参考訳（メタデータ） (2024-10-31T06:14:17Z)
• "Glue pizza and eat rocks" -- Exploiting Vulnerabilities in Retrieval-Augmented Generative Models [74.05368440735468]
  Retrieval-Augmented Generative (RAG)モデルにより大規模言語モデル(LLM)が強化される 本稿では,これらの知識基盤の開放性を敵が活用できるセキュリティ上の脅威を示す。
  論文  参考訳（メタデータ） (2024-06-26T05:36:23Z)
• Rethinking the Vulnerabilities of Face Recognition Systems:From a Practical Perspective [53.24281798458074]
  顔認識システム(FRS)は、監視やユーザー認証を含む重要なアプリケーションにますます統合されている。 最近の研究によると、FRSの脆弱性は敵(例えば、敵パッチ攻撃)やバックドア攻撃(例えば、データ中毒の訓練)であることが明らかになっている。
  論文  参考訳（メタデータ） (2024-05-21T13:34:23Z)
• AssetHarvester: A Static Analysis Tool for Detecting Secret-Asset Pairs in Software Artifacts [4.778835435164734]
  AssetHarvesterは、リポジトリ内のシークレットとアセスメントのペアを検出する静的解析ツールです。 AssetHarvesterの性能を評価するため、188のパブリックリポジトリから抽出した4種類のデータベースの1,791のシークレットアセスメントペアのベンチマークをキュレートした。 以上の結果から,AssetHarvesterにおけるデータフロー解析は,0%の偽陽性を有するシークレット・アセスメント・ペアを検出し,シークレット検出ツールのリコールの改善に有効であることが示唆された。
  論文  参考訳（メタデータ） (2024-03-28T00:24:49Z)
• A Comparative Study of Software Secrets Reporting by Secret Detection Tools [5.9347272469695245]
  GitGuardianの公開GitHubリポジトリの監視によると、2022年にはシークレットが2021と比較して67%加速した。 ベンチマークデータセットに対する5つのオープンソースと4つのプロプライエタリなツールの評価を行う。 GitHub Secret Scanner (75%)、Gitleaks (46%)、Commercial X (25%)、リコールに基づく上位3つのツールは、Gitleaks (88%)、SpectralOps (67%)、TruffleHog (52%)である。
  論文  参考訳（メタデータ） (2023-07-03T02:32:09Z)
• Backdoor Attacks Against Incremental Learners: An Empirical Evaluation Study [79.33449311057088]
  本稿では,11人の典型的なインクリメンタル学習者の3つの学習シナリオに対する中毒ベースのバックドア攻撃に対する高い脆弱性を実証的に明らかにする。 アクティベーションクラスタリングに基づく防御機構は,潜在的なセキュリティリスクを軽減するためのトリガーパターンの検出に有効であることがわかった。
  論文  参考訳（メタデータ） (2023-05-28T09:17:48Z)
• Detecting Security Patches via Behavioral Data in Code Repositories [11.052678122289871]
  Gitリポジトリ内の開発者動作のみを使用して,セキュリティパッチを自動的に識別するシステムを示す。 秘密のセキュリティパッチを88.3%、F1スコア89.8%で公開できることを示しました。
  論文  参考訳（メタデータ） (2023-02-04T06:43:07Z)
• Pre-trained Encoders in Self-Supervised Learning Improve Secure and Privacy-preserving Supervised Learning [63.45532264721498]
  自己教師付き学習は、ラベルのないデータを使ってエンコーダを事前訓練するための新しいテクニックである。 我々は、事前訓練されたエンコーダがセキュア・プライバシ保護型学習アルゴリズムの限界に対処できるかどうかを理解するための、最初の体系的、原則的な測定研究を行う。
  論文  参考訳（メタデータ） (2022-12-06T21:35:35Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)
• PCAL: A Privacy-preserving Intelligent Credit Risk Modeling Framework Based on Adversarial Learning [111.19576084222345]
  本稿では,PCAL(Adversarial Learning)に基づくプライバシ保護型信用リスクモデリングの枠組みを提案する。 PCALは、ターゲット予測タスクのパフォーマンスの重要なユーティリティ情報を維持しながら、元のデータセット内のプライベート情報を隠蔽することを目的としている。 結果は,PCALがユーザデータから効果的なプライバシフリー表現を学習し,信用リスク分析のためのプライバシ保存機械学習の基盤となることを示唆している。
  論文  参考訳（メタデータ） (2020-10-06T07:04:59Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。