文献

J-GLOBAL ID：201902234931429656   整理番号：19A0705479

空間-時間文脈の削減:使用後の脆弱性を検出するためのポインタ分析に基づく静的アプローチ【JST・京大機械翻訳】

Spatio-Temporal Context Reduction: A Pointer-Analysis-Based Static Approach for Detecting Use-After-Free Vulnerabilities

著者 (4件)： Yan Hua ,  Sui Yulei ,  Chen Shiping ,  Xue Jingling
資料名： IEEE Conference Proceedings  (IEEE Conference Proceedings)
巻： 2018  号： ICSE  ページ： 327-337  発行年： 2018年 
JST資料番号： W2441A  資料種別： 会議録 (C)
記事区分： 原著論文  発行国： アメリカ合衆国 (USA)  言語： 英語 (EN)

抄録/ポイント： ゼロ日のUse-After-Free(UAF)脆弱性はますます一般的で,非常に危険であるが,わずかな緩和が存在する。著者らは,効率的かつ効果的に多重MLOC CソースコードにおけるUAFバグを発見するために,新しい解析ベースの静的解析,CRedを導入した。CREDは3つの進歩を遂げることによってこれを達成した。(i)一対の自由および使用サイトで考慮されるべき指数関数数,(ii)誤警報を効率的にフィルタリングするための多段階解析,および(iii)必要な情報へのポイントを見つけるための経路敏感な需要駆動アプローチ。著者らは,LLVM-3.8.0にCRedを実装し,4つの異なる最新の静的ツール(CBMC(モデル検査),クラン(抽象解釈),Coccinelle(パターンマッチング)),および10のオープンソースCアプリケーションにおけるすべてのCテストケースを用いた供給(ポインタ解析)と比較した。JTSにより検証されたグランドトルースに対して,CRedはCBMCおよびSupaとして既知のUAFバグをすべて検出し,一方,クランおよびCoccinelleは任意のツールから誤警報を伴わずにいくつかのバグを検出する。10アプリケーション(集計3+Mloc)で検証された実用性に対して,CRedは7.6時間で85バグを含む132警告を報告した。一方,既存ツールは1アプリケーション(CBMC)に対して3日以内に終了するか,あるいは偽警報(Supa)の過剰数を発行することにより実用的でなかった。Copyright 2019 The Institute of Electrical and Electronics Engineers, Inc. All rights reserved. Translated from English into Japanese by JST.【JST・京大機械翻訳】

シソーラス用語： 多重化 ,  フィルタリング ,  警報 ,  パターンマッチング ,  応用プログラム ,  *ソフトウェア障害
準シソーラス用語： グランドトゥルース ,  テストケース ,  オープンソース ,  LLVM ,  誤警報 ,  静的解析 ,  ソースコード ,  *ポインタ ,  *脆弱性 , 【Automatic Indexing@JST】

分類 (1件)： 図形・画像処理一般  (JE04010I)

タイトルに関連する用語 (4件)： 文脈 ,  脆弱性 ,  ポインタ ,  分析