G.O.S.S.I.P 学术论文推荐 2021-07-23

admin 2022年4月19日23:20:15安全闲碎评论11 views952字阅读3分10秒阅读模式

密码学误用(crypto misuse)的安全检测是安全研究中一项长期受到关注的研究工作,然而最近有一篇研究论文却发表了一种观点,即当前主流的一些代码扫描工具中提供的自动化密码学误用分析引擎的有效性并不令人满意。


G.O.S.S.I.P 学术论文推荐 2021-07-23


作者之所以得出上述结论,是因为他们发现,有些密码学误用检测引擎,连最基础的问题都无法发现,例如下面这个例子:

G.O.S.S.I.P 学术论文推荐 2021-07-23


在调研过程中,作者发现像Coverity这种高度商业化的引擎和由Linkedin驱动开发的QARK,连这个可能是最简单的问题都无法检出。为了全面系统地评估当前的密码学误用检测引擎的有效性,作者研发了一套名为MASC的测试框架,MASC使用的测试用例变换技术可以生成上千种不同的密码学误用测试用例,作者用这些生成的用例测试了当前常用的9种密码学误用检测引擎,发现了19类能够让这些引擎失效的问题。


本论文有一个很有意思的内容,即作者做了一张类似cheat sheet一样的小抄,上面对密码学误用进行了分类(taxonomy)。作者统计调研了1999年之后在安全和软件工程顶级学术会议上发表的相关文献,也对ACM、IEEE数据库和Google学术搜索引擎中相关论文进行了关键字检索。最后一共确定了105类误用的实例。

G.O.S.S.I.P 学术论文推荐 2021-07-23


基于总结的实例,作者的MASC框架对密码学API在实际使用中的具体情况进行变异,产生了大量的不同的生成测试用例,然后将这些用例送入到常见的误用检测引擎中去,测试引擎是否能有效发现这些问题。


G.O.S.S.I.P 学术论文推荐 2021-07-23


作者测试了CryptoGuard、CogniCrypt、SpotBugs、Xanitizer、Coverity、QARK、ShiftLeft、Github Code Security和LGTM共9个检测引擎,检测的结果如下表

G.O.S.S.I.P 学术论文推荐 2021-07-23


作者将导致引擎失效的原因总结为5大类19项,在论文中进行了详细的讨论,这对于代码安全问题检测工具的开发人员来说是非常好的总结!


论文PDF:

https://arxiv.org/pdf/2107.07065.pdf


测试数据集和代码:

https://anonymous.4open.science/r/2f72496c-7afd-44a2-aa4d-b8b98e915215/

原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 学术论文推荐 2021-07-23

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月19日23:20:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  G.O.S.S.I.P 学术论文推荐 2021-07-23 http://cn-sec.com/archives/924192.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: