Automating the early detection of security design flaws

↓ Direkt till sidans innehåll
↓ Direkt till sidans sekundära innehåll (sidomenyn)

Sökning: WFRF:(Tuma Katja 1991) > (2020) > Automating the earl...

1 av 1
Föregående post
Nästa post
Till träfflistan

Tuma, Katja,1991Gothenburg University,Göteborgs universitet,Institutionen för data- och informationsteknik (GU),Department of Computer Science and Engineering (GU) (författare)

Automating the early detection of security design flaws

Artikel/kapitelEngelska2020

Förlag, utgivningsår, omfång ...

2020-10-16
New York, NY, USA :ACM,2020

Nummerbeteckningar

LIBRIS-ID:oai:research.chalmers.se:70304c60-1b37-42e4-a39f-acff54aca081
https://research.chalmers.se/publication/521293URI
https://doi.org/10.1145/3365438.3410954DOI
https://research.chalmers.se/publication/520352URI
https://gup.ub.gu.se/publication/298377URI

Kompletterande språkuppgifter

Språk:engelska
Sammanfattning på:engelska

Ingår i deldatabas

SwePubSwePub

Klassifikation

Ämneskategori:kon swepub-publicationtype
Ämneskategori:ref swepub-contenttype

Anmärkningar

Security by design is a key principle for realizing secure software systems and it is advised to hunt for security flaws from the very early stages of development. At design-time, security analysis is often performed manually by means of either threat modeling or expert-based design inspections. However, when leveraging the wide range of established knowledge bases on security design flaws (e.g., CWE, CAWE), these manual assessments become too time consuming, error-prone, and infeasible in the context of contemporary development practices with frequent iterations. This paper focuses on design inspection and explores the potential for automating the application of inspection rules to speed up the security analysis. The contributions of this paper are: (i) the creation of a publicly available data set consisting of 26 design models annotated with security flaws, (ii) an automated approach for following inspection guidelines using model query patterns, and (iii) an empirical comparison of the results from this automated approach with those from manual inspection. Even though our results show that a complete automation of the security design flaw detection is hard to achieve, we find that some flaws (e.g., insecure data exposure) are more amenable to automation. Compared to manual analysis techniques, our results are encouraging and suggest that the automated technique could guide security analysts towards a more complete inspection of the software design, especially for large models.

Ämnesord och genrebeteckningar

NATURVETENSKAP Data- och informationsvetenskap Annan data- och informationsvetenskap hsv//swe
NATURAL SCIENCES Computer and Information Sciences Other Computer and Information Science hsv//eng
TEKNIK OCH TEKNOLOGIER Annan teknik Övrig annan teknik hsv//swe
ENGINEERING AND TECHNOLOGY Other Engineering and Technologies Other Engineering and Technologies not elsewhere specified hsv//eng
NATURVETENSKAP Data- och informationsvetenskap Systemvetenskap, informationssystem och informatik hsv//swe
NATURAL SCIENCES Computer and Information Sciences Information Systems hsv//eng
NATURVETENSKAP Data- och informationsvetenskap Programvaruteknik hsv//swe
NATURAL SCIENCES Computer and Information Sciences Software Engineering hsv//eng
design flaw detection
empirical software engineering
security flaw
secure design
security-by-design
automation
security-by-design
secure design
security flaw
design flaw detection
automation
empirical software engineering

Biuppslag (personer, institutioner, konferenser, titlar ...)

Sion, LaurensKatholieke Universiteit Leuven (författare)
Scandariato, Riccardo,1975Gothenburg University,Göteborgs universitet,Institutionen för data- och informationsteknik (GU),Department of Computer Science and Engineering (GU)(Swepub:gu)xscari (författare)
Yskout, KoenKatholieke Universiteit Leuven (författare)
Göteborgs universitetInstitutionen för data- och informationsteknik (GU) (creator_code:org_t)

Sammanhörande titlar

Ingår i:Proceedings - 23rd ACM/IEEE International Conference on Model Driven Engineering Languages and Systems, MODELS 2020New York, NY, USA : ACM:MODELS '20, s. 332-342

Internetlänk

Till lärosätets databas

1 av 1
Föregående post
Nästa post
Till träfflistan

Hitta mer i SwePub

Av författaren/redakt...: Tuma, Katja, 199 ...; Sion, Laurens; Scandariato, Ric ...; Yskout, Koen

Om ämnet

NATURVETENSKAP: NATURVETENSKAP; och Data och informa ...; och Annan data och i ...

TEKNIK OCH TEKNOLOGIER: TEKNIK OCH TEKNO ...; och Annan teknik; och Övrig annan tekn ...

NATURVETENSKAP: NATURVETENSKAP; och Data och informa ...; och Systemvetenskap ...

NATURVETENSKAP: NATURVETENSKAP; och Data och informa ...; och Programvarutekni ...

Artiklar i publikationen: Proceedings - 23 ...

Av lärosätet: Chalmers tekniska högskola; Göteborgs universitet

Sök utanför SwePub

Sök vidare i:: Google; Google Book Search; Google Scholar

Kungliga biblioteket hanterar dina personuppgifter i enlighet med EU:s dataskyddsförordning (2018), GDPR. Läs mer om hur det funkar här.
Så här hanterar KB dina uppgifter vid användning av denna tjänst.

LIBRIS.kb.se