論文の概要: Evaluating Cryptographic API Misuse Detectors for Go
- arxiv url: http://arxiv.org/abs/2604.24085v1
- Date: Mon, 27 Apr 2026 06:19:56 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-04-28 17:12:07.768248
- Title: Evaluating Cryptographic API Misuse Detectors for Go
- Title(参考訳): Go用暗号化APIミス検出器の評価
- Authors: Vivi Andersson, Martin Monperrus,
- Abstract要約: 本稿では,Goにおける暗号API誤用検出の総合的研究について述べる。
私たちは、最先端の4つのツール(CodeQL、Gopher、Gosec、Snyk Code)を特定し、分析し、14の関連する誤用クラスの統合分類を確立します。
328のセキュリティクリティカルなオープンソースGoプロジェクトの実験的評価を通じて,7,473の暗号API誤用を発見した。
- 参考スコア(独自算出の注目度): 5.939983212292006
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Cryptographic API misuse represents a critical vulnerability class that undermines the security foundations of modern software. Yet, it remains largely unexplored in Go despite its dominance in security-critical infrastructure. This paper presents the first comprehensive study of cryptographic API misuse detection in Go, identifying and analyzing 4 state-of-the-art tools (CodeQL, Gopher, Gosec, and Snyk Code) and establishing a consolidated taxonomy of 14 relevant misuse classes. Through an experimental evaluation of 328 security-critical open-source Go projects, we discovered 7,473 cryptographic API misuses, providing insights into the prevalence and distribution of these vulnerabilities. Our systematic comparison reveals significant variations in misuse coverage, with immediate practical implications for security engineers and long-term implications for research in this domain.
- Abstract(参考訳): 暗号APIの誤用は、現代のソフトウェアのセキュリティ基盤を損なう重要な脆弱性クラスである。
しかし、セキュリティクリティカルなインフラの優位性にもかかわらず、Goではほとんど探索されていない。
本稿では,Goにおける暗号API誤用検出の総合的研究として,最先端の4つのツール(CodeQL,Gopher,Gosec,Snyk Code)を特定し,分析し,14種類の関連誤用クラスの統合分類を確立した。
328のセキュリティクリティカルなオープンソースのGoプロジェクトの実験的評価を通じて、7,473の暗号化API誤用を発見し、これらの脆弱性の流行と配布に関する洞察を提供した。
組織的な比較では,セキュリティエンジニアに対する即時的な影響や,この分野の研究に対する長期的な影響など,誤用範囲の顕著な変化が明らかになっている。
関連論文リスト
- Weakly Supervised Vulnerability Localization via Multiple Instance Learning [46.980136742826836]
WeAkly によるマルチプルインスタンス学習による脆弱性ローカライゼーションのための WAVES という新しい手法を提案する。
WAVESは、ある関数が脆弱かどうか(すなわち脆弱性検出)を判定し、脆弱なステートメントをピンポイントする機能を持っている。
提案手法は,文レベルの脆弱性ローカライゼーションにおいて,脆弱性検出と最先端のパフォーマンスにおいて同等のパフォーマンスを実現する。
論文 参考訳(メタデータ) (2025-09-14T15:11:39Z) - CyberGym: Evaluating AI Agents' Real-World Cybersecurity Capabilities at Scale [45.97598662617568]
我々は188のソフトウェアプロジェクトにわたる1,507の実際の脆弱性を特徴とする大規模ベンチマークであるCyberGymを紹介した。
我々はCyberGymが35のゼロデイ脆弱性と17の歴史的不完全なパッチを発見できることを示した。
これらの結果は、CyberGymは、サイバーセキュリティにおけるAIの進歩を測定するための堅牢なベンチマークであるだけでなく、直接的な現実世界のセキュリティ効果を生み出すためのプラットフォームでもあることを強調している。
論文 参考訳(メタデータ) (2025-06-03T07:35:14Z) - Vulnerability Detection with Code Language Models: How Far Are We? [40.455600722638906]
PrimeVulは、脆弱性検出のためのコードLMのトレーニングと評価のための新しいデータセットである。
これは、人間の検証されたベンチマークに匹敵するラベルの精度を達成する、新しいデータラベリング技術を含んでいる。
また、厳密なデータ重複解消戦略と時系列データ分割戦略を実装して、データの漏洩問題を軽減している。
論文 参考訳(メタデータ) (2024-03-27T14:34:29Z) - SliceLocator: Locating Vulnerable Statements with Graph-based Detectors [33.395068754566935]
SliceLocatorは、すべての潜在的な脆弱性トリガリングステートメントから、最も重み付けされたフローパスを選択することで、最も関連性の高いテントフローを特定する。
SliceLocatorは、最先端の4つのGNNベースの脆弱性検知器で一貫して動作することを示す。
論文 参考訳(メタデータ) (2024-01-05T10:15:04Z) - Vulnerability Scanners for Ethereum Smart Contracts: A Large-Scale Study [44.25093111430751]
2023年だけでも、そのような脆弱性は数十億ドルを超える巨額の損失をもたらした。
スマートコントラクトの脆弱性を検出し、軽減するために、さまざまなツールが開発されている。
本研究では,既存のセキュリティスキャナの有効性と,現在も継続している脆弱性とのギャップについて検討する。
論文 参考訳(メタデータ) (2023-12-27T11:26:26Z) - A Systematic Evaluation of Automated Tools for Side-Channel Vulnerabilities Detection in Cryptographic Libraries [6.826526973994114]
文献を調査し,34のサイドチャネル検出フレームワークの分類を行った。
次に、5つの有望な検出ツールの選択に基づいて、代表的な暗号操作のベンチマークを構築しました。
最近公開されたサイドチャネル脆弱性の分類を提供する。
既存のツールでは,SIMD命令のサポートの欠如,暗黙のフロー,内部シークレット生成など,さまざまな理由から脆弱性を見つけるのに苦労しています。
論文 参考訳(メタデータ) (2023-10-12T09:18:26Z) - Detecting Misuse of Security APIs: A Systematic Review [5.329280109719902]
セキュリティアプリケーションプログラミングインターフェース(API)は、ソフトウェアセキュリティの確保に不可欠である。
彼らの誤用は脆弱性を導入し、深刻なデータ漏洩と重大な財務損失につながる可能性がある。
本研究は,セキュリティAPIの誤用検出に関する文献を精査し,この重要な領域を包括的に理解する。
論文 参考訳(メタデータ) (2023-06-15T05:53:23Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。