西安电子科技大学学报 ›› 2019, Vol. 46 ›› Issue (6): 147-154.doi: 10.19665/j.issn1001-2400.2019.06.021

• • 上一篇    下一篇

自动程序修复中的安全隐患场景及解决方案

黄昱铭1,马建峰1,2,刘志全1(),魏凯敏1,冯丙文1,3,4,5   

  1. 1. 暨南大学 信息科学技术学院,广东 广州 510632
    2. 西安电子科技大学 网络与信息安全学院,陕西 西安 710071
    3. 中国科学院信息工程研究所 信息安全国家重点实验室,北京 100093
    4. 广东省信息安全技术重点实验室,广东 广州 520006
    5. 广东省智能信息处理重点实验室/深圳市媒体信息内容安全重点实验室,广东 深圳 518060
  • 收稿日期:2019-06-02 出版日期:2019-12-20 发布日期:2019-12-21
  • 通讯作者: 刘志全
  • 作者简介:黄昱铭(1995—),男,暨南大学硕士研究生,E-mail:406744068@qq.com
  • 基金资助:
    国家自然科学基金(61802146);国家自然科学基金(61802145);广东省自然科学基金(2018A030313813);广东省自然科学基金(2018A030313387);广东省自然科学基金(2019B010136003);广东省自然科学基金(2019B010137005);广东省自然科学基金(2017A030313390);广东省自然科学基金(2017A030313334);国家重点研发计划(2018YFB1402600);广州市科技计划(201804010428);广州市科技计划(201802010061);中央高校基本科研业务费专项资金(11618332);中央高校基本科研业务费专项资金(11617343);信息安全国家重点实验室开放课题;广东省信息安全技术重点实验室开放基金(2017B030314131);广东省智能信息处理重点实验室/深圳市媒体信息内容安全重点实验室开放基金

Security risk scenarios and solutions in automatic program repair

HUANG Yuming1,MA Jianfeng1,2,LIU Zhiquan1(),WEI Kaimin1,FENG Bingwen1,3,4,5   

  1. 1. College of Information Science and Technology, Jinan Univ., Guangzhou 510632, China
    2. School of Cyber Engineering, Xidian Univ., Xi’an 710071, China
    3. State Key Lab. of Information Security, Institute of Information Engineering,Chinese Academy of Sciences, Beijing 100093, China
    4. Guangdong Provincial Key Lab. of Information Security Technology, Guangzhou 520006, China
    5. Guangdong Key Lab. of Intelligent Information Processing and Shenzhen Key Lab. of Media Security, Shenzhen 518060, China
  • Received:2019-06-02 Online:2019-12-20 Published:2019-12-21
  • Contact: Zhiquan LIU

摘要:

为提高自动程序修复方法的修复质量,指出在自动程序修复方法修复程序缺陷过程中存在的两种安全隐患场景,即脏补丁源场景和脏测试集场景,并为两种安全隐患场景分别提出相应的解决方案,即补丁校验方案和测试集校验方案。实验结果表明, 所提出的补丁校验方案能够促使自动程序修复方法获取安全性更高的补丁,所提出的测试集校验方案能够准确地定位测试集中的脏测试用例,误报率为7.20%。

关键词: 自动程序修复, 静态分析, 测试集, 软件安全

Abstract:

To improve the quality of the Automatic Program Repair (APR) method, this research points out two scenarios, namely tainted patch sources and error test suites, which may lead to security risks in the APR-based software defect fix. Moreover, the research proposes the corresponding solutions, namely the patch verification schema and the test suite verification schema, respectively. Experimental results demonstrate that the patch verification schema can enable the APR to obtain a more secure patch, and that the test suite verification scheme can accurately locate the error test cases in the test suite with a false positive rate of 7.20%.

Key words: automatic program repair, static analysis, test suite, software security

中图分类号: 

  • TP309