まいにち論文

まいにち論文を読んで紹介したい!

SoK: Research Perspectives and Challenges for Bitcoin and Cryptocurrenciesの概要を翻訳してみた

SoK: Research Perspectives and Challenges for Bitcoin and Cryptocurrenciesの概要を翻訳してみた

 

 前回の記事について

Beyond Metadata: Code-centric and Usage-based Analysis of Known Vulnerabilities in Open-source Softwareの概要を翻訳してみた - まいにち論文

OSS脆弱性スキャンについて触れたが本日以下のような記事を見つけた。

 

tech.nikkeibp.co.jp

 

この記事から引用すると

 

アプリケーション向けテストツールを提供する日本シノプシスは2018年6月19日、オープンソースソフトのセキュリティとリスクに関する調査結果を発表した。業務アプリケーション全体の96%にオープンソースソフトが使われていることや、IoTアプリケーション1つ当たり平均600件の脆弱性を含んでいることなどが分かった

 

業務用のアプリケーションや今後増加するであろうIoTのソフトウェアにもOSSが増え、OSSへの対応が必要になると言う。

 

もちろん、この報告をしたシノプシスOSSのセキュリティや ライセンスの管理ができるBlack Duckを買収した会社であるので、自社にとって嬉しい報告をしているだけなので完全に信用していいものではないが。

 

オープンソースソフトウェアの利用を管理するBlack Duck Softwareを半導体設計ソフトのSynopsysが買収 | TechCrunch Japan

 

Blockchainの論文

 

今回はBlockchainの論文を読んでみた。

Blockchainの論文は以下のGithubで綺麗に纏められている。

 

GitHub - decrypto-org/blockchain-papers: A curated list of academic blockchain-related papers

 

ここではBlockchainの論文を20の分類に分けて、それぞれの分類毎に論文へのリンクを載せている。

 

今回は「General」のSoK: Research Perspectives and Challenges for Bitcoin and Cryptocurrenciesを読んでみた。

 

概要の翻訳

 

Bitcoinは歴史上最も成功した暗号通貨として登場した。 Bitcoin2009年に静かに登場してから2年で数十億ドルの経済的価値を持つまでに成長した、十分なシステムの設計の分析をせずに。それ以来、論文の数が増えるにつれ、システムの隠れた重要な特性が発見され、攻撃の発見、有望な代替手段の提案、そして難しいフューチャーチャレンジを発見した。その一方で、大きく活気のあるオープンソースコミュニティは、多くの修正と拡張を提案し、デプロイしてきた。私たちはBitcoinの最初の体系的な解説と、多くの関連する暗号通貨「altcoins」の体系的な解説を行う。散在した知識体系から描き始め、切り離しが可能なBitcoinの設計の3つの重要なコンポーネントを明らかにする。これにより、Bitcoinの特性と将来の安定性に関するより洞察的な分析が可能になった。私たちは、代替コンセンサスメカニズム、通貨割り当てメカニズム、計算パズル、キー管理ツールの相対的な分析を提供し、大量の修正案を提案するための設計空間を紹介する。 私たちは、Bitcoinの匿名性の問題を調査し、さまざまなプライバシー強化の提案を分析するための評価フレームワークを提供する。最後に、私たちは、ディスインテメーションプロトコル(非仲介者プロトコル)と呼ぶものについての新しい洞察を提供する。これは、興味深い一連のアプリケーションで必要とされる信頼できる仲介者を必要としなくなる。私たちは、3つの一般的な仲介戦略を特定し、詳細な比較結果を提供する。

 

この論文は、IEEE Symposium on Security and Privacyの2015年の論文である。

概要からわかるように、Bitcoin(仮想通貨)の基礎となる部分の解説を行った論文である。

全18ページなので全部読もうとするとなかなか大変そう・・・

 

日本語でBitcoinの基礎をしっかりと学びたい人は以下の書籍がおすすめ。

 

 

プログラミングとかがわからない人でも読める本で、読み物として楽しめるものでいい感じでした。

 

 

Beyond Metadata: Code-centric and Usage-based Analysis of Known Vulnerabilities in Open-source Softwareの概要を翻訳してみた

Beyond Metadata: Code-centric and Usage-based Analysis of Known Vulnerabilities in Open-source Softwareの概要を翻訳してみた

 

[1806.05893] Beyond Metadata: Code-centric and Usage-based Analysis of Known Vulnerabilities in Open-source Software

 

この論文はICSME2018で発表予定の論文で、ICSME2018は2018年9月26日から開催される予定です。(なので6月19日現在では未発表の論文のようです)

 

タイトルにあるようにOSS脆弱性問題に対してCode-centric(コード中心?)とUsage-based(実利用ベース?)分析を利用したVULASというツールを開発した、という論文です。

 

概要の最後に書いてあるようにSAPで公式に推奨されている、とあるが、論文の筆者がSAPのメンバーなのでこのようなことができるんだなー、といった感じです。

 

OSS脆弱性の問題は今後もかなりホットな話題なので、この論文も少し読んでおく価値はありそうです。

特に、私は「Code-centric」や「Usage-based」といったワードがわからないのでまずはそこから・・・

 

概要の翻訳

 

オープンソースソフトウェア(OSS)の使用はますます増加しており、多くのオープンソース脆弱性が発見され、公開されている。オープンなコミュニティによって開発されたライブラリの利用によって得られたメリットは、脆弱性を適時検出し、評価、リスクの低減するコストによって相殺される可能性がある。 

この論文では、OSS脆弱性を検出、評価、リスクを低減するための新しい手法を紹介する。この手法は、脆弱なOSSの依存関係を特定するためにメタデータに依存する一般的に最先端と言われているアプローチを改善したものである。私たちのソリューションでは、依存関係の代わりにコード中心で、静的分析と動的分析を組み合わせて、アプリケーションによって(直接的に・間接的に)使用されるライブラリの脆弱な部分への到達可能性を判断する。この手法によって、開発者は脆弱性のないライブラリのバージョンを選択できるようになる。 

コード中心で実利用ベースのアプローチを実装するツール「VULAS」は、SAPからJavaソフトウェアのスキャンを公式に推奨されており、201612月から約500のアプリケーションへの250000回以上のスキャンの実行に成功している。この実験に関してと、研究のプロトタイプから産業レベルのソリューションまでツールを成熟させたときの教訓についても報告する。