关于Bug Finders的真相:他们基本上无用
对于SEO,链接比你想象的更重要
福特与创新中心致敬伦敦科技界
Asana现在让用户标记哪个任务持有它们
三星的大规模15tb SSD可以是你的 - 约10万美元
made.com试验实时聊天以获取客户建议
爱德华斯诺登开发了一个iPhone案例,意味着杀死监控
华为说,视频将成为电信提供商的“Carm Cow”
沃达丰到新加坡电力自行车共享服务
Home Office U-Reck Over IR35承包商分类提示IT项目延迟恐惧
Quantum升级到StorNext 6,复制和应用程序QoS
Skype的机器人入侵继续群聊天
IBM和AT&T正在享受IOT开发人员
FCC Hails'纪念性'投票投票打开5G和物联网的新频谱
Oracle文件处理SDK中的缺陷会影响主要的第三方产品
英国企业需要在五分之一的攻击中提出网络安全
Microsoft要求Windows 10硬件改变PC安全性
至少准备好机器人的工人接管他们的一些工作
办公室工作人员不欣赏IT人员面临的复杂性
对Hillary Clinton的个人电子邮件系统进行调查,无需收费
Cisos在新加坡和澳大利亚不跟上数据违规行为
您现在可以在接收方脱机时向Skype发送文件
McAfee Report揭示了对网络威胁情报的五个挑战
Ofcom:OpenReach必须在管道和杆路上做更多
几乎四分之三的技术工作人员在Brexit之后思考离开英国
政府每年为AI提起2300万英镑,以提高英国经济
身份,身份验证和授权成为风险指导
微软倾听和学习,为Windows 10的新生年度提出了一流的等级
全民选举:odi希望在党文中看到数据,技能和创新承诺
IAM一个用于GDPR合规性的核心积木
刑事法院审查委员会任命邮局IT系统案件的法医会计师
在达拉斯的轰炸机器人之后,专家希望每辆车车里都有泰瑟队的机器人
澳大利亚向熟练工人取消签证
北欧地区竞争数据中心的优势
苹果车会是新的黑莓吗?
Docker Funder和VMware Alum潜入数据库启动
谷歌希望挫败量子计算机从破解互联网加密
最后喘气:Microsoft更新获取Windows 10 Nagster,KB 3035583,又重要
上传速度对宽带用户的越来越多
WONGA警告245,000英国的网络泄露客户
面试:Dave Perry,首席技术官Dvla
人类互动仍然关键网络攻击,研究揭示了
英特尔船舶Kaby Lake Chips,在几个月内指向PC可用性
Microsoft将其Azure Stack软件延迟到2017年中期
用你的眼睛扫描杀死智能手机密码
GigaClear袋11100万英镑投资推出FTTP宽带
第二个男人对黑客娱乐明星辩护
阿鲁巴氛围:机器学习转换网络
哥伦布,俄亥俄州侧重于运输工艺40万美元的DOT奖
Microsoft Touts数据收集工具作为升级到Windows 10的企业辅助
您的位置:首页 >产品 > 电子产品 >

关于Bug Finders的真相:他们基本上无用

2021-07-11 14:44:02 [来源]:

今天的流行虫查找器仅抓住了软件代码中潜伏的漏洞的百分之一,尽管数百万美元的公司每年花费。

软件工程师通常使用BUG查找器来彻底省略可能转变为漏洞的代码中的问题。他们“LL通常会报告他们找到了多少虫子 - 你不知道的是错过了多少,留下成功利率开放的神秘面纱。

所以纽约大学的研究人员与麻省理工学院的林肯实验室和东北大学合作,决定找出他们缺少多少。

熔岩或大规模自动化漏洞添加,是由研究人员创建的技术,以测试错误查找工具的限制,以帮助开发人员改善它们。它确实这样做,通过故意向程序的源代码添加漏洞。

“评估Bug Finder的唯一方法是控制程序中的错误的数量,这正是我们对熔岩所做的,”纽约Tandon计算机科学与工程助理教授Brendan Dolan-Gavitt说。

系统插入已知数量的新颖漏洞,该漏洞是合成的,但具有许多与野外的计算机错误相同的属性。它是自动化的,因此它避免了手动,定制设计的漏洞的成本。

相反,熔岩在真实程序的源代码中使目标编辑产生了数十万个不孤立的,高度逼真的漏洞,这些漏洞跨越程序的执行寿命,嵌入在正常控制和数据流中,并且仅为一小部分输入的输入以避免关闭整个程序。

当用现有的错误查找软件测试时,表示今天常用的“模糊”和符号执行方法,只检测到熔岩创建的错误的两个百分之一。今年夏天,团队计划推出开放式竞争,允许开发人员和其他研究人员要求熔化版本的一块软件,试图找到错误,并根据其准确性获得分数。

“在这个领域的这种规模中从未成为绩效基准,现在我们有一个,”Dolan-Gavitt说。“开发人员可以争夺谁的吹牛权,谁在错误寻找中具有最高的成功率,以及将从过程中出现的程序可能更强大。”

详细介绍了该研究的纸张最近在IEEE关于安全和隐私作题讨论,并在会议诉讼程序中发表。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。