earticle

논문검색

Vulnerability Analysis

테스트코드 뮤턴트를 이용하여 정적분석 도구 미검출 찾기

원문정보

Detecting False Negatives in Static Analysis Tools Using Test Code Mutants

박현우, 최태형, 도경구

보안공학연구지원센터(JSE) 보안공학연구논문지 Vol.14 No.2 2017.04 pp.77-90
피인용수 : 0(자료제공 : 네이버학술정보)

초록

영어

Modern Software is often exposed to security accidents primarily due to malicious hackings taking advantage of defects and vulnerabilities residing in source code. Recent technological advance and commercial success of static-analysis tools have made it possible for software developers to use the tools and detect safety defects and security vulnerabilities before release. Despite the advantages of static code analysis, the developers tend to avoid using it because of the immoderate false negatives and positives. In this paper, we propose an effective method of automatically generating test codes for static-analysis tools based on mutation testing techniques. In fact, several false-negatives of commercially released a static analysis tool were found by this method.

한국어

현대 소프트웨어는 종종 소스코드에 존재하는 오류나 보안약점을 이용한 공격으로 인해 보안사고 에 노출된다. 최근 정적분석 도구가 갖게 된 기술의 진보와 상업적인 성공이 개발자들로 하여금 정적 분석 도구를 사용하여 오류나 보안취약점을 배포 전에 검출할 수 있게 되었다. 정적분석의 여러 가지 이점에도, 정적분석 결과에 존재하는 오검출과 미검출로 인해 개발자들이 정적분석도구의 사용을 꺼 리는 경향이 있다. 본 논문에서는, 뮤테이션 테스팅 기법에 기반하여 정적분석도구 테스트코드를 자 동으로 생성하는 효율적인 방법을 제안한다. 실제로 상용 출시된 정적분석 도구의 일부 미탐을 이 방법으로 발견하였다.

목차

요약
 Abstract
 1. 서론
 2. 시큐어코딩 표준
  2.1. MISRA C/C++
  2.2. CERT C/C++
 3. 관련 연구
  3.1. 정적분석도구의 미검출
  3.2. 뮤테이션 테스트
 4. 테스트코드 뮤턴트 생성
 5. 실험
 6. 결론 및 추후 연구
 References

키워드

저자정보

  • 박현우 Hyun Woo Park. ATTO Research
  • 최태형 Tae-Hyoung Choi. DevCenter, GTOne(c)
  • 도경구 Kyoung-Goo Doh. Dept. of Computer Science, Hanyang Univ.

참고문헌

자료제공 : 네이버학술정보

    함께 이용한 논문

      ※ 원문제공기관과의 협약기간이 종료되어 열람이 제한될 수 있습니다.

      0개의 논문이 장바구니에 담겼습니다.