-
作者徐坚皓@南京大学
-
简介
现今的软件系统越来越依赖“人群的力量”来识别新的安全漏洞。 然而,人群报告(crowd-reported)安全漏洞的可重现性尚未被充分了解。 作者对大范围的真实世界安全漏洞(总共368个)进行了首次实证分析, 以量化其可重现性。根据一个精心控制的工作流程,作者组织了一个专门的安全分析师小组来进行复现实验。在花费了3600个工时(man-hour)后,作者得到了漏洞报告中信息缺失的普遍性和漏洞的低可重现性的大量证据。 调查发现,由于信息不完整,仅依赖主流的安全论坛的单个漏洞报告通常很难成功复现漏洞。通过广泛的众包信息收集,安全分析师可以提高复现成功率,但仍然面临着解决不可复现案例的关键挑战。作者发现,在互联网规模的众包失效的情况下,安全专业人员严重依赖手动调试和推测性猜测来推断缺失的信息。本报告表明,不仅改进安全论坛收集漏洞报告的方式是必要的,还需要自动化机制来收集漏洞报告中常见的缺失信息。
-
援引https://www.inforsec.org/wp/?p=3013
-
提示本站仅做资料的整理和索引,转载引用请注明出处
相关推荐
-
2020-10-15 12:21:29.290235 -
2020-03-29 10:30:08 -
2021-01-21 13:33:49.730060 -
2020-06-15 07:23:14
附件下载
-
理解人群报告安全漏洞的可重现性.pdf