دانلود مقاله بررسی استفاده از پایگاه داده های آسیب پذیری
چکیده
مقدمه
رویکرد
نتایج
بحث
مسیر پیش رو
نتیجه گیری
منابع
Abstract
Introduction
Approach
Results
Discussion
The road ahead
Conclusion
References
چکیده
در دهه گذشته چندین پایگاه داده آسیبپذیری نرمافزاری برای راهنمایی محققان و توسعهدهندگان در توسعه نرمافزار امنتر و قابل اعتمادتر معرفی شدهاند. در حالی که جامعه تحقیقاتی مهندسی نرم افزار به طور فزاینده ای از این پایگاه داده های آسیب پذیری آگاه می شود، هیچ بررسی ادبیات جامعی وجود ندارد که نحوه استفاده از آنها را در توسعه نرم افزار مطالعه کند. هدف از نظرسنجی ما ارائه بینشی در مورد چگونگی تحول چشمانداز تحقیقاتی پایگاه داده آسیبپذیری نرمافزار (SVDBs) در 17 سال گذشته و ترسیم برخی چالشهای باز مرتبط با استفاده از آنها در حوزه غیرامنیتی است. به طور خاص، ما یک روش نیمه خودکار مبتنی بر مدلسازی موضوع را معرفی میکنیم تا موضوعات مرتبط را از مجموعه دادههای 99 مقاله تحقیقاتی مرتبط SE کشف کنیم. ما 24 موضوع را در مورد استفاده از SVDB ها در حوزه SE پیدا کردیم. نتایج نشان میدهد که i) موضوعاتی که استفاده از SVDBها را توصیف میکنند، از مطالعات تجربی امنیتی (موردی) تا ابزارهایی برای تولید موارد تست امنیتی را شامل میشود. ii) اکثر مقالات بررسیشده تعداد محدودی از مشارکتها یا فعالیتهای مهندسی نرمافزار را پوشش میدهند (به عنوان مثال، تعمیر و نگهداری) و iii) که بیشتر مقالات بررسیشده تنها به یک SVDB به عنوان منبع دانش خود متکی هستند.
توجه! این متن ترجمه ماشینی بوده و توسط مترجمین ای ترجمه، ترجمه نشده است.
Abstract
Over the last decade several software vulnerability databases have been introduced to guide researchers and developers in developing more secure and reliable software. While the Software Engineering research community is increasingly becoming aware of these vulnerabilities databases, no comprehensive literature survey exists that studies how they are used in software development. The objective of our survey is to provide insights on how the software vulnerability database (SVDBs) research landscape has evolved over the past 17 years and outline some open challenges associated with their use in non-security domain. More specifically, we introduce a semi-automated methodology based on topic modeling, to discover relevant topics from our dataset of 99 relevant SE research articles. We find 24 topics discussing the use of SVDBs in SE domain.
Introduction
In response to the increasing number of software vulnerabilities and attacks, various private and public organizations have introduced Software Vulnerabilities Databases (SVDBs) (e.g., National Vulnerabilities Database (NVD)1). Each of these databases captures not only different types of vulnerability information but are also of interest to developers and other stakeholders, since they contain valuable information about software flaws, causes of defects and details on how vulnerabilities arise, etc. (Thomas, 2011). Existing SVDBs can be classified into two major categories, private and public vulnerabilities databases: Private SVDBs are typically managed by for-profit organizations, covering vendor specific product (closed source) vulnerabilities and rarely disclosure this information to the public. Public SVDBs are organized and maintained typically by non-profit organizations (e.g., Computer Emergency Response Teams (CERT)2) and discloses their vulnerability information with the public.
Results and analyses
While SE research community are increasingly focusing on security and reliability, no comprehensive literature survey exists that studies how software vulnerabilities databases are used and integrated in a developer’s tools chain. In this paper, we proposed a methodology to discover and quantify security topics and trends of using SVDBs in SE research. Our methodology is based on LDA, a widely-applied statistical topic modeling approach, which we used to discover topics from our dataset of relevant SE research articles. We define various metrics to quantify how security topics have evolved over time, allowing us to gain insights on how SVDBs are used in SE research over last 17 years.