論文の概要: Can I Check What I Designed? Mapping Security Design DSLs to Code Analyzers
- arxiv url: http://arxiv.org/abs/2605.07814v1
- Date: Fri, 08 May 2026 14:46:51 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-11 19:43:39.12777
- Title: Can I Check What I Designed? Mapping Security Design DSLs to Code Analyzers
- Title(参考訳): 私が設計したものを確認できますか?セキュリティ設計DSLをコードアナライザにマッピングします
- Authors: Sven Peldszus, Frederik Reiche, Kevin Hermann, Sophie Corallo, Thorsten Berger, Robert Heinrich,
- Abstract要約: セキュリティの専門家でさえ、この関係について完全には理解していないことを示す。
66個の設計レベルのセキュリティDSLと,36個のコードレベルのアナライザによる559個のセキュリティチェックについて検討する。
設計レベルと実装レベルのセキュリティには共通点がほとんどないことを学びました。
- 参考スコア(独自算出の注目度): 6.599861412836101
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: When assessing the potential impact of code-level vulnerabilities, e.g., discovered by automated analyzers, it is essential to consider them in the context of the system's security design. However, this is a challenging task due to the abstraction gap between security design, often specified using security DSLs, and implementation. As we will show, even security experts lack a complete understanding of this relationship. Intrigued by this gap (and the general disconnect between secure design and secure implementation) we present a study of 66 design-level security DSLs and 559 security checks from 36 code-level analyzers. We identify what concepts are common to both and capture them in the SecLan model, which has been validated by 22 security experts. Based on this, we investigate the relationship between DSLs and analyzers quantitatively and explore it qualitatively together with 9 security experts. We learn that there are few commonalities between design-level and implementation-level security; security checks are often described by overly general weaknesses, resulting in many non-obvious potential relationships between security DSLs and analyzers; and even security experts are overwhelmed by this complexity. We provide an empirical basis that helps practitioners and researchers better understand the gap and serves as a first step toward bridging it.
- Abstract(参考訳): 自動アナライザによって発見されたコードレベルの脆弱性の潜在的な影響を評価する場合、システムのセキュリティ設計の文脈でそれらを考慮することが不可欠である。
しかしながら、セキュリティ設計は、しばしばセキュリティDSLと実装を使って指定されるため、抽象的なギャップがあるため、これは難しいタスクです。
以下に示すように、セキュリティの専門家でさえ、この関係について完全には理解していない。
このギャップ(およびセキュアな設計とセキュアな実装の一般的な切り離し)に起因して、66の設計レベルのセキュリティDSLと36のコードレベルのアナライザによる559のセキュリティチェックについて検討する。
どちらも共通する概念を特定し、SecLanモデルでそれらをキャプチャします。
これに基づいて、DSLとアナライザの関係を定量的に調査し、9人のセキュリティ専門家とともに質的に調査する。
設計レベルと実装レベルのセキュリティの間には共通点がほとんどないこと、セキュリティチェックが過度に一般的な弱点によって説明されることが多いこと、セキュリティDSLとアナライザの間には、予期せぬ潜在的な関係が数多く生じていること、セキュリティの専門家でさえ、この複雑さに圧倒されていること、などが分かりました。
実践者や研究者がギャップをよりよく理解するための実証的な基盤を提供し、それをブリッジする第一歩として役立ちます。
関連論文リスト
- From Detection to Prevention: Explaining Security-Critical Code to Avoid Vulnerabilities [2.490168997159702]
この研究は、セキュリティクリティカルな機能を実装するコード領域を強調することによって、脆弱性を防止するための積極的な戦略を探求する。
コードレベルのソフトウェアメトリクスを使用してセキュリティクリティカルなメソッドを識別するIntelliJ IDEAプラグインのプロトタイプを提示する。
論文 参考訳(メタデータ) (2026-01-31T13:16:01Z) - An Empirical Study on the Security Vulnerabilities of GPTs [48.12756684275687]
GPTは、OpenAIの大規模言語モデルに基づいた、カスタマイズされたAIエージェントの一種である。
本稿では,GPTのセキュリティ脆弱性に関する実証的研究について述べる。
論文 参考訳(メタデータ) (2025-11-28T13:30:25Z) - Takedown: How It's Done in Modern Coding Agent Exploits [11.214918024551638]
本研究では,8つの実世界の符号化エージェントの総合的セキュリティ分析を行う。
ユーザシステムの機密性や整合性を損なうために悪用される可能性のある,これまで見過ごされあるいは見逃された問題を含む,15のセキュリティ問題を特定します。
論文 参考訳(メタデータ) (2025-09-29T03:27:18Z) - Quantitative analysis of attack-fault trees via Markov decision processes [0.7179506962081079]
本稿では,マルコフ決定プロセスを用いて,メトリクスの信頼性(安全性)と攻撃コスト(セキュリティ)の両面を見出す新しい手法を提案する。
これにより、安全とセキュリティの完全な相互運用が可能になると同時に、オートマトンアプローチよりもはるかに軽量で高速になります。
論文 参考訳(メタデータ) (2024-08-13T14:06:07Z) - Safetywashing: Do AI Safety Benchmarks Actually Measure Safety Progress? [59.96471873997733]
我々は、より有意義な安全指標を開発するための実証的な基盤を提案し、機械学習研究の文脈でAIの安全性を定義する。
我々は、AI安全研究のためのより厳格なフレームワークを提供し、安全性評価の科学を前進させ、測定可能な進歩への道筋を明らかにすることを目指している。
論文 参考訳(メタデータ) (2024-07-31T17:59:24Z) - Communicating on Security within Software Development Issue Tracking [0.0]
著名なイシュートラッカからインターフェースを分析して、セキュリティコミュニケーションをどのようにサポートし、セキュリティスコアをどのように統合するかを確認します。
本研究ではCVSS分析に満足しなかったが,CVSSと互換性のある推論が可能であった。
これは、問題追跡ソフトウェアにおけるCVSSのような質問によるコミュニケーションの改善により、より良いセキュリティインタラクションが引き起こされる可能性があることを示唆している。
論文 参考訳(メタデータ) (2023-08-25T16:38:27Z) - Leveraging Traceability to Integrate Safety Analysis Artifacts into the
Software Development Process [51.42800587382228]
安全保証ケース(SAC)は、システムの進化中に維持することが困難である。
本稿では,ソフトウェアトレーサビリティを活用して,関連するシステムアーチファクトを安全解析モデルに接続する手法を提案する。
安全ステークホルダーがシステム変更が安全性に与える影響を分析するのに役立つように、システム変更の合理性を設計する。
論文 参考訳(メタデータ) (2023-07-14T16:03:27Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。