本研究は、共通認証基準(CC)認証製品間の参照関係を分析しています。
まず、参照関係のコンテキストを理解するために、手動アノテーションと機械学習を組み合わせた手法を開発しました。この手法により、参照関係が「コンポーネントの再利用」や「前バージョンからの参照」といった意味を持つことを明らかにしました。
次に、参照関係に基づいてCC認証製品のグラフを構築し、分析を行いました。その結果、以下のことが分かりました:
スマートカード製品は他の製品に比べて参照関係が非常に密であり、多くのスマートカード製品がほかの認証製品のセキュリティ機能に依存している。
全体の10%以上の製品が、わずか12の高影響力製品(主にマイクロコントローラやICチップ)に依存している。これらの高影響力製品の脆弱性が発覚した場合、多くの関連製品に深刻な影響を及ぼす可能性がある。
一部の製品が、既に認証が失効した製品を参照し続けている事例が見られ、認証の有効期限管理に課題があることが示唆された。
本研究の成果は、脆弱性発見時の影響範囲特定や、高影響力製品の監視強化など、CCエコシステムの信頼性向上に役立つと考えられます。また、認証文書の記述方法改善にも示唆を与えるものと期待されます。
翻譯成其他語言
從原文內容
arxiv.org
深入探究