【PPT分享】南京大学徐坚皓 :理解人群报告安全漏洞的可重现性

1月18日,在清华大学举办的网络安全研究国际学术论坛InForSec 2019年年会上,南京大学徐坚皓带来了《理解人群报告安全漏洞的可重现性》的精彩报告。

南京大学徐坚皓

 演讲主题:Understanding the Reproducibility of Crowd-reported Security Vulnerabilities(理解人群报告安全漏洞的可重现性)→PPT下载

内容摘要:现今的软件系统越来越依赖“人群的力量”来识别新的安全漏洞。 然而,人群报告(crowd-reported)安全漏洞的可重现性尚未被充分了解。 作者对大范围的真实世界安全漏洞(总共368个)进行了首次实证分析, 以量化其可重现性。根据一个精心控制的工作流程,作者组织了一个专门的安全分析师小组来进行复现实验。在花费了3600个工时(man-hour)后,作者得到了漏洞报告中信息缺失的普遍性和漏洞的低可重现性的大量证据。 调查发现,由于信息不完整,仅依赖主流的安全论坛的单个漏洞报告通常很难成功复现漏洞。通过广泛的众包信息收集,安全分析师可以提高复现成功率,但仍然面临着解决不可复现案例的关键挑战。作者发现,在互联网规模的众包失效的情况下,安全专业人员严重依赖手动调试和推测性猜测来推断缺失的信息。本报告表明,不仅改进安全论坛收集漏洞报告的方式是必要的,还需要自动化机制来收集漏洞报告中常见的缺失信息。

 

Bookmark the permalink.

Comments are closed.