核心概念
秘密で保護されたアセットの情報を提供することで、開発者がセキュリティ上の脆弱性を優先的に修正できるようにする。
摘要
本研究では、ソフトウェアアーティファクト内の秘密とそれが保護するアセットの関係を特定するための静的解析ツール「AssetHarvester」を提案している。
主な内容は以下の通り:
-
秘密とアセットの共存パターンを4つ特定した。これらのパターンを利用して、秘密とアセットのペアを検出する。
-
パターンマッチング、データフロー解析、高速近似ヒューリスティクスの3つのアプローチを組み合わせて、AssetHarvesterを構築した。
-
1,791件の秘密-アセットペアからなるベンチマークデータセット「AssetBench」を作成した。
-
AssetHarvesterを使って、秘密-アセットペアを検出した結果、全体としての精度97%、再現率90%、F1スコア94%を達成した。
-
データフロー解析を用いることで、秘密検出ツールの再現率を向上させることができる。また、AssetHarvesterは非データベースアセットにも拡張可能である。
統計資料
2023年にGitGuardianが報告した、開発者が公開GitHubリポジトリで漏洩した秘密の数は1,200万件以上で、2021年から113%増加した。
秘密検出ツールの精度は25%から99%と低く、開発者は多くの誤検知に悩まされている。
引述
"GitGuardian monitored secrets exposure in public GitHub repositories and reported that developers leaked over 12 million secrets (database and other credentials) in 2023, indicating a 113% surge from 2021."
"Despite the availability of secret detection tools, developers ignore the tools' reported warnings because of false positives (25%-99%)."