まいにち論文

まいにち論文を読んで紹介したい!

Beyond Metadata: Code-centric and Usage-based Analysis of Known Vulnerabilities in Open-source Softwareの概要を翻訳してみた

Beyond Metadata: Code-centric and Usage-based Analysis of Known Vulnerabilities in Open-source Softwareの概要を翻訳してみた

 

[1806.05893] Beyond Metadata: Code-centric and Usage-based Analysis of Known Vulnerabilities in Open-source Software

 

この論文はICSME2018で発表予定の論文で、ICSME2018は2018年9月26日から開催される予定です。(なので6月19日現在では未発表の論文のようです)

 

タイトルにあるようにOSS脆弱性問題に対してCode-centric(コード中心?)とUsage-based(実利用ベース?)分析を利用したVULASというツールを開発した、という論文です。

 

概要の最後に書いてあるようにSAPで公式に推奨されている、とあるが、論文の筆者がSAPのメンバーなのでこのようなことができるんだなー、といった感じです。

 

OSS脆弱性の問題は今後もかなりホットな話題なので、この論文も少し読んでおく価値はありそうです。

特に、私は「Code-centric」や「Usage-based」といったワードがわからないのでまずはそこから・・・

 

概要の翻訳

 

オープンソースソフトウェア(OSS)の使用はますます増加しており、多くのオープンソース脆弱性が発見され、公開されている。オープンなコミュニティによって開発されたライブラリの利用によって得られたメリットは、脆弱性を適時検出し、評価、リスクの低減するコストによって相殺される可能性がある。 

この論文では、OSS脆弱性を検出、評価、リスクを低減するための新しい手法を紹介する。この手法は、脆弱なOSSの依存関係を特定するためにメタデータに依存する一般的に最先端と言われているアプローチを改善したものである。私たちのソリューションでは、依存関係の代わりにコード中心で、静的分析と動的分析を組み合わせて、アプリケーションによって(直接的に・間接的に)使用されるライブラリの脆弱な部分への到達可能性を判断する。この手法によって、開発者は脆弱性のないライブラリのバージョンを選択できるようになる。 

コード中心で実利用ベースのアプローチを実装するツール「VULAS」は、SAPからJavaソフトウェアのスキャンを公式に推奨されており、201612月から約500のアプリケーションへの250000回以上のスキャンの実行に成功している。この実験に関してと、研究のプロトタイプから産業レベルのソリューションまでツールを成熟させたときの教訓についても報告する。