본 연구 논문은 안드로이드용 정적 애플리케이션 보안 테스팅(SAST) 도구의 성능을 종합적으로 분석하고 비교합니다. 연구진은 99개의 기존 정적 분석 도구 중 엄격한 기준에 따라 11개의 무료 오픈소스 안드로이드 SAST 도구를 선정했습니다. 이후, 각 도구의 메타데이터를 검토하여 다양한 취약점 유형을 67개의 일반/공통 유형으로 통합하고, 도구 보고서를 표준화된 형식으로 조정하여 자동화된 비교를 가능하게 하는 VulsTotal이라는 플랫폼을 개발했습니다.
본 연구는 다음과 같은 연구 질문에 답하고자 합니다.
연구진은 11개의 SAST 도구를 사용하여 GHERA, MSTG&PIVAA, 그리고 새롭게 구축된 CVE 기반 벤치마크를 스캔했습니다. CVE 기반 벤치마크는 292,776개의 CVE 항목을 수동으로 분석하여 구축되었으며, 250개의 안드로이드 관련 CVE와 229개의 APK, 34개의 취약점 유형을 포함합니다. VulsTotal 플랫폼을 사용하여 도구의 성능을 유형 커버리지, 유형 일관성, 탐지 효과 및 시간 성능과 같은 다양한 차원에서 평가했습니다.
본 연구는 안드로이드 SAST 도구의 성능을 종합적으로 분석하고, 도구 개발자와 사용자에게 유용한 정보를 제공합니다. 특히, 단일 도구만으로는 포괄적인 취약점 스캔을 수행할 수 없으며, 여러 도구를 함께 사용하는 것이 중요하다는 것을 강조합니다. 또한, 기존 벤치마크와 실제 CVE 데이터 간의 불일치를 지적하고, 현실적인 벤치마크를 구축하는 것의 중요성을 강조합니다.
Ke Bahasa Lain
dari konten sumber
arxiv.org
Wawasan Utama Disaring Dari
by Jingyun Zhu,... pada arxiv.org 10-29-2024
https://arxiv.org/pdf/2410.20740.pdfPertanyaan yang Lebih Dalam