Alapfogalmak
スマートコントラクトのセキュリティ脆弱性を検出するための静的アプリケーション・セキュリティ・テスト(SAST)ツールの現状を明らかにし、その有効性を包括的に評価する。
Kivonat
近年、スマートコントラクトのセキュリティの重要性が高まっている。これに対処するため、多数のSASTツールが提案されているが、それらの有効性を客観的に比較することは依然として困難である。既存の研究では、分類法とベンチマークが粗く、時代遅れの脆弱性タイプしか扱っていないため、評価が十分に包括的ではなく、バイアスが生じる可能性がある。
本研究では、この問題を解決するため、45の独自の脆弱性タイプを含む最新かつ詳細な分類法を提案した。これをベースラインとして、40の異なる脆弱性タイプを網羅する大規模なベンチマークを開発した。このベンチマークを使って8つのSASTツールを評価した結果、既存のツールは約50%の脆弱性を検出できず、偽陽性も高いことが明らかになった。複数のツールの結果を組み合わせることで偽陰性率を効果的に低減できるが、アクセス制御やリエントラント以外の脆弱性は多く検出されていない。
本研究の知見は、開発者、研究者、実践者にとって、ツールの開発、改善、評価、選択に役立つ指針を提供する。
Statisztikák
既存のSASTツールは、ベンチマークの約50%の脆弱性を検出できていない。
ツールの精度は10%を超えていない。