PDGraph:针对不安全项目依赖的大规模实证研究
2022-7-25 20:30:36
Author: 安全学术圈(查看原文)
阅读量:10
收藏
原文标题:PDGraph: A Large-Scale Empirical Study on Project Dependency of Security Vulnerabilities
原文作者:Qiang Li; Jinke Song; Dawei Tan; Haining Wang; Jiqiang Liu
原文链接:https://ieeexplore.ieee.org/document/9505106
原文来源:DSN'21
笔记作者:[email protected]
笔记小编:[email protected]
简介
代码重用可能带来潜在的安全问题,不同的软件项目可能同时由相互依赖的重用组件引入漏洞。论文通过构建一个项目依赖关系图PDGraph,对项目依赖关系与安全漏洞进行了首次大规模实证研究。
挑战
- 项目的构建文件只提供分离的依赖关系,需要遍历项目重用库中的构建文件才能获得完整的依赖关系。
- 解决:将依赖关系分为 Full/Whole Dataset (Maven) 和 Partial Dataset (GitHub) 两类
- 如何整合不同来源数据集(NVD、Maven、GitHub)的信息来判断项目是否存在漏洞。
方法
A.数据收集
- GitHub:针对Java、Ruby、Python、.NET、JavaScript五种语言不同的依赖声明文件,借助API爬取依赖声明文件。将GitHub数据集分为三类:A类(涉及漏洞的项目)、B类(直接使用A类项目库的项目)、C类(间接使用A类项目库的项目)
- 相似度匹配:统计文本特征提取相关词,使用Levenshtein距离计算Maven、GitHub项目描述和CPE间相似度。
- URL:比较NVD漏洞报告中的url与Maven、GitHub项目的url。
- 第三方数据:Advisory database、CVE、 manually-curated dataset。
B. 构建项目依赖图
- 定义四项指标评估依赖风险:依赖项目数量、依赖该项目的项目数量、依赖路径长度、循环依赖。
- 生成依赖图,通过SCC简化PDGraph,利用MFAS保证局部图的层次结构,然后对于每个SCC生成有向无环图DAG.
- 检测不安全的边:正则匹配依赖关系边缘中的需求版本和漏洞版本。
实验
数据集:
不安全边发现:
总结
论文构建了第一个针对安全漏洞的项目依赖图,发现了大量由于项目依赖而引入的不安全边,可以为代码审计、防御代码重用攻击等提供帮助。但仍存在一些不足:
- PDGraph基于项目构建文件创建,可能存在人为错误
- 并非所有漏洞都是可传递的,现有的不安全边可能存在误报
文章来源: http://mp.weixin.qq.com/s?__biz=MzU5MTM5MTQ2MA==&mid=2247488029&idx=1&sn=078cc599b728ed1bb299425e101255ff&chksm=fe2eed96c9596480bd25e5fb783f12523535a090c945e9eb54406ce9d829d3158e4bbbee06b6#rd
如有侵权请联系:admin#unsafe.sh