研究论文

使用TRACER平台保护遗留代码

作者:

科斯坦蒂诺斯斯特罗盖洛斯,

季米特里斯米特罗普洛斯,

扎卡里亚斯采米亚斯,

帕纳约蒂斯帕帕佐普洛斯,

福蒂奥斯拉斐利迪斯,

季奥米季斯斯宾耐立思,

索蒂里斯约安尼迪斯、和

帕纳约蒂斯卡萨罗斯作者信息和声明

PCI’14：第18届泛希腊信息学会议记录

2014年10月

页1-6

https://doi.org/10.1145/2645791.2645796

出版:2014年10月2日出版历史

获取访问权限

摘要

软件漏洞会严重影响组织的基础设施，并对其造成重大财务损失。有许多工具和技术可用于在各种编程平台编写的软件中执行漏洞检测，以减少此类缺陷。然而，由于运行此类工具的要求以及它们存储和呈现结果的格式千差万别，因此很难在项目范围内使用其中的许多工具。通过简化运行各种漏洞检测器的过程，并在开发期间以高效、自动化的方式收集其结果，可以支持在软件项目的整个演化历史中跟踪安全缺陷的任务。在本文中，我们提出了tracer，这是一个软件框架和平台，通过不断监视软件项目的漏洞来支持更安全的应用程序的开发。该平台允许轻松集成静态检测软件漏洞并在软件开发和维护期间促进其使用的现有工具。为了证明该平台的效率和可用性，我们集成了两个流行的静态分析工具FindBugs和Frama-c作为示例实现，并报告了使用它们的初步结果。

工具书类

[1]

McGraw，G.：《软件安全：构建安全》，Addison-Wesley Professional（2006）

数字图书馆

[2]

Shahriar，H.、Zulkernine，M.：缓解项目安全漏洞：方法和挑战。ACM计算。Surv公司。44（3）（2012年6月）11:1--11:46

数字图书馆

[3]

Telang，R.，Wattal，S.：软件漏洞公告对软件供应商市场价值的影响——一项实证调查。信息安全经济学研讨会。(2007) 677427

[4]

Ray，D.，Ligatti，J.：定义代码注入攻击。摘自：第39届ACM SIGPLAN-SIGACT编程语言原理研讨会会议记录。POPL'12，美国纽约州纽约市，ACM（2012）179--190

数字图书馆

[5]

Chess，B.，West，J.：使用静态分析进行安全编程。Addison-Wesley Professional（2007年）

数字图书馆

[6]

Okun，V.，Guthrie，W.F.，Gaucher，R.，Black，P.E.：静态分析工具对软件安全的影响：初步调查。摘自：2007年ACM保护质量研讨会会议记录。2007年第四季度，美国纽约州纽约市，ACM（2007）1-5

数字图书馆

[7]

Ozment，A.，Schechter，S.E.：牛奶还是葡萄酒：软件安全性会随着年龄的增长而提高吗？收录：USENIX安全研讨会第15届会议记录-第15卷。USENIX-SS’06，美国加利福尼亚州伯克利，USENIX协会（2006）

数字图书馆

[8]

Lehman，M.M.，Ramil，J.F.，Wernick，P.D.，Perry，D.E.，Turski，W.M.：软件进化的度量和定律——九十年代的观点。摘自：第四届软件度量国际研讨会论文集。METRICS’97，美国华盛顿特区，IEEE计算机协会（1997）20。

数字图书馆

[9]

Wang，Y.，Lively，W.M.，Simmons，D.B.：基于web应用程序的软件安全分析和评估模型。J.公司。科学方法。和工程9（2009年4月）179--189

数字图书馆

[10]

Bozorgi，M.、Saul，L.K.、Savage，S.、Voelker，G.M.：超越启发式：学习分类漏洞和预测漏洞利用。摘自：第16届ACM SIGKDD知识发现和数据挖掘国际会议论文集。KDD’10，美国纽约州纽约市，ACM（2010）105-114

数字图书馆

[11]

Herraiz，I.、Izquierdo-Cortazar，D.、Rivas-Hernández，F.：弗洛斯计量：自由/自由/开源软件计量。在：2009年欧洲软件维护和重组会议论文集。CSMR'09，美国华盛顿特区，IEEE计算机协会（2009）281-284

数字图书馆

[12]

Cubranic，D.，Murphy，G.：Hipikat：推荐相关的软件开发工件。摘自：软件工程，2003年。诉讼程序。第25届国际会议（2003年5月）408-418

数字图书馆

[13]

Johnson，P.，Kou，H.，Paulding，M.，Zhang，Q.，Kagawa，A.，Yamashita，T.：通过软件项目遥测改进软件开发管理。软件，IEEE 22（4）（2005年7月）76-85

数字图书馆

[14]

Campell，A.，Papapetrou，P.In:SonarQube In Action，Manning Publications（2014年10月）

数字图书馆

[15]

Cifuentes，C.，Scholz，B.：Parfait：设计可伸缩的错误检查器。摘自：2008年静态分析研讨会论文集。SAW’08，美国纽约州纽约市，ACM（2008）4--11

数字图书馆

[16]

Cifuentes，C.，Keynes，N.，Li，L.，Scholz，B.：使用parfait检测错误的程序分析：受邀演讲。摘自：2009年ACM SIGPLAN部分评估和程序操作研讨会会议记录。PEPM’09，美国纽约州纽约市，ACM（2009）7--8

数字图书馆

[17]

Chatzieleftheriou，G.，Katsaros，P.：用于搜索c代码漏洞的测试驱动静态分析工具。2012 IEEE第36届计算机软件和应用年会研讨会0（2011）96-103

数字图书馆

[18]

Lattner，C.，Adve，V.:LLVM：终身程序分析转换的编译框架。In:代码生成和优化，2004年。CGO 2004。2004年3月75日至86日的国际研讨会

数字图书馆

[19]

Cifuentes，C.、Hoermann，C.、Keynes，N.、Li，L.、Long，S.、Mealy，E.、Mounteney，M.、Scholz，B.：Beggunk：C错误检测工具的基准测试。摘自：第二届大型软件系统缺陷国际研讨会论文集。2009年缺陷，美国纽约州纽约市，ACM（2009）16--20

数字图书馆

[20]

Gousios，G.，Spinellis，D.：Alitheia核心：一个可扩展的软件质量监控平台。收录：《第31届软件工程国际会议论文集》，ICSE’09，美国华盛顿特区，IEEE计算机学会（2009）579-582

数字图书馆

[21]

Hovemeyer，D.，Pugh，W.：发现虫子很容易。SIGPLAN不是。39（2004年12月）92--106

数字图书馆

[22]

Cuoq，P.，Kirchner，F.，Kosmatov，N.，Prevosto，V.，Signoles，J.，Yakobowski，B.：Frama-C：软件分析视角。摘自：《第十届软件工程与形式化方法国际会议论文集》，柏林，海德堡，施普林格-弗拉格出版社（2012）233-247

数字图书馆

[23]

Ayewah，N.、Pugh，W.、Morgenthaler，J.D.、Penix，J.、Zhou，Y.：评估生产软件上的静态分析缺陷警告。In:第七届ACM SIGPLAN-SIGSOFT软件工具和工程程序分析研讨会会议记录。PASTE’07，美国纽约州纽约市，ACM（2007）1-8

数字图书馆

[24]

Gyrard，A.，Bonnet，C.，Boudaoud，K.：STAC（安全工具箱：攻击与对策）本体论。参加：第22届国际万维网大会。，巴西里约热内卢（2013年5月）165-166

数字图书馆

建议

保护传统软件免受现实世界代码利用：乌托邦、炼金术还是可能的未来？
亚洲CCS’15：第十届ACM信息、计算机和通信安全研讨会会议记录

20多年来，利用广泛使用的软件中的内存损坏漏洞一直是一个威胁，而且似乎没有尽头。由于性能和向后兼容性压倒了安全顾虑，web等流行程序。。。
阅读更多信息
TRACER：基于特征的静态分析，用于检测重复出现的漏洞
CCS’22：2022年ACM SIGSAC计算机和通信安全会议记录

类似的软件漏洞再次出现，因为开发人员重用了现有的易受攻击的代码，或者在实现相同的逻辑时犯了类似的错误。最近，人们提出了各种分析技术来发现语法上重复出现的漏洞。。。
阅读更多信息
基于自动可变性分析将遗留软件产品重组为软件产品线
ICSE’11：第33届国际软件工程会议记录

为了向客户交付各种短时间上市的软件产品，软件产品线（SPL）范式代表了软件开发的一种新尝试。为了……将一系列遗留软件产品迁移到SPL中。。。
阅读更多信息

评论

信息和贡献者

问询处

发布于

封面图片ACM其他会议

PCI’14：第18届泛希腊信息学会议记录

2014年10月

355页

国际标准图书编号：9781450328975

内政部：10.1145/2645791

总主席：
Katsikas Sokratis公司
比雷埃夫斯大学数字系统系
,
哈特佐普洛斯·迈克尔
雅典国立卡波迪斯特里亚大学信息与电信系
,
阿波斯托洛波洛斯·西奥多罗斯
雅典经济与商业大学信息学系
,
阿纳格诺斯托普洛斯·迪莫斯坦尼斯
雅典哈洛科皮奥大学信息与远程信息处理系
,
课程主席：
卡拉伊安尼斯·埃利亚斯
乔治华盛顿大学商学院系统与技术管理系
,
瓦瓦里古·塞奥多拉
雅典国立技术大学电气与计算机工程学院
,
尼古拉多·马拉
雅典哈洛科皮奥大学信息与远程信息处理系

版权所有©2014 ACM。

如果复制品不是为了盈利或商业利益而制作或分发的，并且复制品的第一页载有本通知和完整引文，则允许免费制作本作品的全部或部分数字或硬拷贝以供个人或课堂使用。必须尊重ACM以外的其他人对本作品组成部分的版权。允许用信用证进行摘要。要以其他方式复制或重新发布，在服务器上发布或重新发布到列表，需要事先获得特定许可和/或付费。向请求权限[电子邮件保护]

合作中

希腊通信协会：希腊计算机协会
比雷埃夫斯大学：比雷埃夫斯大学
雅典国立和卡波迪斯理工大学：雅典国立和卡波迪斯理工大学
雅典经济与商业大学：雅典经济与商业大学

出版商

计算机协会

美国纽约州纽约市

出版历史

出版：2014年10月2日

权限

请求对此文章的权限。

检查更新

作者标记

限定符

研究文章
研究
推荐有限公司

会议

2014年PCI

PCI'14:第18届泛希腊信息学会议

2014年10月2-4日

希腊雅典

接受率

PCI’14论文接受率102份提交中的51份，50%；

总体接受率390份提交文件中的190份，49%

贡献者

其他指标

查看文章指标

文献计量学和引文

文献计量学

文章指标

0
引文总数
96
总下载次数

下载次数（过去12个月）三
下载次数（最近6周）0

其他指标

查看作者指标

引文

视图选项

获取访问权限

登录选项

检查您是否可以通过登录凭据或您的机构访问本文。

完全访问权限

获取此出版物

视图选项

PDF格式

以PDF文件的形式查看或下载。

电子阅读器

使用联机查看电子阅读器.

电子阅读器

媒体

数字

其他

桌子