論文の概要: In Specs we Trust? Conformance-Analysis of Implementation to Specifications in Node-RED and Associated Security Risks
- arxiv url: http://arxiv.org/abs/2502.09117v1
- Date: Thu, 13 Feb 2025 09:53:00 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-02-14 13:50:38.131794
- Title: In Specs we Trust? Conformance-Analysis of Implementation to Specifications in Node-RED and Associated Security Risks
- Title(参考訳): 信頼する仕様 -Node-REDの仕様と関連するセキュリティリスクの適合分析-
- Authors: Simon Schneider, Komal Kashish, Katja Tuma, Riccardo Scandariato,
- Abstract要約: 本稿では,Node-REDノードの"隠れた"情報フローに焦点を当てる。
この結果、全てのノードの55%が、指定されている以上のフローの可能性を示している。
- 参考スコア(独自算出の注目度): 6.145420182634924
- License:
- Abstract: Low-code development frameworks for IoT platforms offer a simple drag-and-drop mechanism to create applications for the billions of existing IoT devices without the need for extensive programming knowledge. The security of such software is crucial given the close integration of IoT devices in many highly sensitive areas such as healthcare or home automation. Node-RED is such a framework, where applications are built from nodes that are contributed by open-source developers. Its reliance on unvetted open-source contributions and lack of security checks raises the concern that the applications could be vulnerable to attacks, thereby imposing a security risk to end users. The low-code approach suggests, that many users could lack the technical knowledge to mitigate, understand, or even realize such security concerns. This paper focuses on "hidden" information flows in Node-RED nodes, meaning flows that are not captured by the specifications. They could (unknowingly or with malicious intent) cause leaks of sensitive information to unauthorized entities. We report the results of a conformance analysis of all nodes in the Node-RED framework, for which we compared the numbers of specified inputs and outputs of each node against the number of sources and sinks detected with CodeQL. The results show, that 55% of all nodes exhibit more possible flows than are specified. A risk assessment of a subset of the nodes showed, that 28% of them are associated with a high severity and 36% with a medium severity rating.
- Abstract(参考訳): IoTプラットフォーム用のローコード開発フレームワークは、膨大なプログラミング知識を必要とせずに、数十億ものIoTデバイス用のアプリケーションを作成するための、シンプルなドラッグアンドドロップメカニズムを提供する。
このようなソフトウェアのセキュリティは、医療やホームオートメーションなど、多くの機密性の高い領域において、IoTデバイスの密に統合されているため、極めて重要である。
Node-REDはそのようなフレームワークであり、アプリケーションはオープンソースの開発者が貢献するノードから構築される。
未調査のオープンソースコントリビューションへの依存とセキュリティチェックの欠如は、アプリケーションが攻撃に対して脆弱である可能性を懸念し、エンドユーザにセキュリティリスクを課す。
ローコードアプローチは、多くのユーザーがそのようなセキュリティ上の懸念を緩和し、理解し、実現するための技術的な知識を欠いていることを示唆している。
本稿では,Node-REDノードの"隠れた"情報フローに焦点を当てる。
彼らは(無意識または悪意のある意図で)機密情報を無許可のエンティティに漏洩させる可能性がある。
我々はNode-REDフレームワークの全ノードの適合解析の結果を報告し、各ノードの特定入力数と出力数を、CodeQLで検出されたソース数とシンク数と比較した。
その結果、全てのノードの55%は、指定されている以上のフローが可能であることが示された。
ノードのサブセットのリスク評価の結果,28%が高重症度,36%が中重症度であることがわかった。
関連論文リスト
- RedCode: Risky Code Execution and Generation Benchmark for Code Agents [50.81206098588923]
RedCodeはリスクの高いコード実行と生成のためのベンチマークである。
RedCode-Execは、危険なコード実行につながる可能性のある、挑戦的なプロンプトを提供する。
RedCode-Genは160のプロンプトに関数シグネチャとドキュメントを入力として提供し、コードエージェントが命令に従うかどうかを評価する。
論文 参考訳(メタデータ) (2024-11-12T13:30:06Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - An investigation of the Online Payment and Banking System Apps in Bangladesh [0.0]
バングラデシュは国家インフラのデジタル化に力を入れている。
これらのシステムのセキュリティレベルに関する知識が不足しているにも関わらず、現在、あまり考慮せずに頻繁に使用されている。
論文 参考訳(メタデータ) (2024-07-10T15:43:45Z) - Optimizing Malware Detection in IoT Networks: Leveraging Resource-Aware Distributed Computing for Enhanced Security [0.6856683556201506]
マルウェアとして知られる悪意のあるアプリケーションは、IoTデバイスやネットワークに重大な脅威をもたらす。
我々は,IoTネットワーク用の分散コンピューティングと統合された,リソースとワークロードを意識した新たなマルウェア検出フレームワークを提案する。
論文 参考訳(メタデータ) (2024-04-12T21:11:29Z) - What Can Self-Admitted Technical Debt Tell Us About Security? A
Mixed-Methods Study [6.286506087629511]
自己充足型技術的負債(SATD)
潜在的に悪用可能な脆弱性や セキュリティ上の欠陥に関する 恐ろしい情報源と見なすことができます
本研究は、SATDのセキュリティへの影響を、技術と開発者中心の観点から検討する。
論文 参考訳(メタデータ) (2024-01-23T13:48:49Z) - HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。
低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。
私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
論文 参考訳(メタデータ) (2024-01-17T00:56:23Z) - SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。
SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。
我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
論文 参考訳(メタデータ) (2023-09-26T08:11:38Z) - KGTrust: Evaluating Trustworthiness of SIoT via Knowledge Enhanced Graph
Neural Networks [63.531790269009704]
ソーシャル・インターネット・オブ・モノ(Social Internet of Things, SIoT)は、スマート・オブジェクト(物)にソーシャルネットワークの概念を注入する、有望で新興のパラダイムである。
リスクと不確実性のため、解決すべき重要かつ緊急の問題は、SIoT内で信頼性の高い関係、すなわち信頼評価を確立することである。
本稿では,SIoTにおける信頼度向上のための知識強化グラフニューラルネットワーク(KGTrust)を提案する。
論文 参考訳(メタデータ) (2023-02-22T14:24:45Z) - The #DNN-Verification Problem: Counting Unsafe Inputs for Deep Neural
Networks [94.63547069706459]
#DNN-Verification問題は、DNNの入力構成の数を数えることによって安全性に反する結果となる。
違反の正確な数を返す新しい手法を提案する。
安全クリティカルなベンチマークのセットに関する実験結果を示す。
論文 参考訳(メタデータ) (2023-01-17T18:32:01Z) - Multi-context Attention Fusion Neural Network for Software Vulnerability
Identification [4.05739885420409]
ソースコードのセキュリティ脆弱性の共通カテゴリのいくつかを効率的に検出することを学ぶディープラーニングモデルを提案する。
モデルは、学習可能なパラメータの少ないコードセマンティクスの正確な理解を構築します。
提案したAIは、ベンチマークされたNIST SARDデータセットから特定のCWEに対して98.40%のF1スコアを達成する。
論文 参考訳(メタデータ) (2021-04-19T11:50:36Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。