د نویسنده: Wachiraphan Charoenwet Patanamon Thongtanunam Van-Thuan Pham Christoph Treude د نویسنده: د چیرګان Charoenwet پټانامون Thongtanunam وین تیون فام کریستوفر ټریډ Table of links د چپې جدول Abstract د Abstract 1 Introduction 1 نندارتون 2 Background and Related Work 2 پیژندل او اړونده کار د سافټویر امنیت د کوډ د ضعفاتو د خوندیتوب Shift-Left د مدرن کوډ نظرونه د سافټویر خوندیتوب لپاره کوډ بیاکتنه په کوډ کې د خونديتوب مسؤلیتونو په کارولو پروسه کې 3 Motivating Examples 3 د اغیزمن مثالونه 4 Case Study Design 4 Case Study ډیزاین د څیړنې پوښتنې د پروژو مطالعې د معلوماتو د جمعې د کوډ کولو ضعيفيت Taxonomy د مطالعې په اړه د خونديتوب مسؤلیت Identification Approach (RQ1) د معلوماتو حساسیتونو توازن تحلیل (RQ2) د کارولو پروسه شناسایی (RQ3) 5 Preliminary Analysis 5 مخکښ تحلیل PA1: د کوډ کولو ضعیفې نظرونو اغیزمنتیا PA2: زموږ د خونديتوب مسؤلیت د تشخیص لارښوونې مخکښ ارزیابی 6 Case Study Results 6 د کورس مطالعې پایلې 7 Discussion 7 بحث 8 Threats to Validity 8 د ارزښت ته خطر د داخلي اعتبار د validity جوړولو د خارجي اعتبار Abstract د Abstract د سافټویر سیسټمونو په اړه د مخکښ منفي اغیزو کمولو لپاره د سافټویر سیسټمونو ته د مخکښ منفي اغیزو کمولو لپاره د سافټویر سیسټمونه د مخکښ منفي اغیزو ونیسئ. د کوډ بیاکتنې یو پراختیا چې د سافټویر د پراختیا سیسټم کې د سافټویر د پراختیا په وخت کې د سافټویر د پراختیا په وخت کې د سافټویر په وخت کې اغیزو اغیزو اغیزو ونیسئ. په هرصورت، د موجوده کوډ بیاکتنې مطالعې په دوو لوی پروژې کې، OpenSSL او PHP کې د معلوماتو په اړه تمرکز کوي، د کوډ کولو ضعیفېاتو په اړه، چې کولی شي د کوډ بیاکت 1 Introduction د سافټویر د پراختیا پروسې کې یو مهم تمرکز دی ځکه چې دا د سافټویر سیسټم د بهرني خطرونو (McGraw, 2004) په څرنګه کې شامل دي. د سافټویر محصولات کې د امنیت ستونزو مدیریت مهم دی ځکه چې د مخکښ امنیت ستونزو، په ځانګړې توګه د ګټور حساسیت، د پایلو کاروونکو ته اغیزمنه کوي او د حل لپاره ډیر سرچینې ته اړتيا لري که په وروستیو مرحله کې کشف شي. د سافټویر ستونزو د کمولو لپاره هڅه کوي، پراختیا کوونکو ته د اوسني بدلون-پړاو مفهوم (Migues, 2021; Weir et al., 2022) ته وده ورکړي چې د نوي سافټویر په چټکۍ سره ازمايښت شي. د چپ بدلون روح په روح کې، ډیری سازمانونه د ډیری مطالعې د کوډ بیاکتنې ګټورې څېړنه وکړه چې د خوندیتوب ستونزو په څیړنه کې د کوډ بیاکتنې ګټورې (Alfadel et al., 2023; Bosu et al., 2014; Di Biase et al., 2016; Edmundson et al., 2013; Paul et al., 2021b). په هرصورت، د مخکښ کارونو په څېړنه کې د خونديتوب ستونزو په ځانګړي ډول د معلوماتو د ستونزو ډولونو لخوا محدود شوي دي لکه SQL Injection او XSS. په ځانګړي توګه، د کوډ بیاکتنې په پروسه کې د خونديتوب ستونزو اکثرا محدود دي چې د مخکښانو کار وکړي. ځکه چې د کوډ بیاکتنې تمرکز کوي د کوډ د ستونزو په څیړنه او کمولو کې، موږ فرضوي چې کوډ په دې کې شامل دي د کوډ کولو ضعیفې ډولونه چې د امنیت ستونزو ته وده ورکوي او د دې کوډ کولو ضعیفې په کارولو پروسه. برسېره پر دې، لږ معلومه ده چې آیا د کوډ بیاکتنې په وخت کې وده شوي امنیت ستونزو د ستونزو سره تړاو لري چې د سیسټم ممکن په راتلونکې کې لري. د دې سایټونو څیړنه به موږ سره مرسته وکړي چې د کوډ کولو ضعیفې په وخت کې د کوډ بیاکتنې په وخت کې د سافټویر د خوندیتوب ستونزو د مخنیوی لپاره په ښه توګه پوه شي. دا څیړنې کولی شي د اوسني کوډ بیاکتنې عمل او د اړوند سیسټمونو کې معلوم شوي ضعیفې تر منځ د ضعیفې وده ورکوي. په یوه برخه کې، سافټویر ټیم په دې کار کې، موږ هڅه کوو چې د کوډینګ کمښتونو څیړنه کړي چې د کوډ بیاکتنې په وخت کې راځي او څنګه څیړنه کړي چې د کوډینګ کمښتونو په اړه د کوډینګ کمښتونو په اړه د کوډینګ کمښتونو څیړنه کړي. موږ د OpenSSL او PHP په اړه زموږ د مثال مطالعې ترسره کړ چې لوی د کوډینګ سیسټمونه دي چې د خوندیتوب ستونزو ته حساس دي. موږ د کوډینګ پروژو کې د کوډینګ کمښتونو د وړتیا، د اړتیا کوډ بیاکتنې پالیسۍ، او د انتخاب شوي پروژو د راتلونکي کمښتونو له امله د دې پریکړه کوو چې د کوډینګ کمښتونو په اړه د کوډینګ پایلو، لکه د فعالیت له دې امله، موږ د درې څیړنو پوښتنو حل کولو لپاره د تجربي مطالعې ترسره کړ: (RQ1) د کوډینګ کمښتونو سره تړاو لري چې د کوډینګ کمښتونو په اغیزمن ډولونه په کوډینګ کمښتونو کې راټول کیږي؟؟؟ (RQ2) څنګه د کوډینګ کمښتونو سره تړاو لري او د معلوماتو کمښتونو سره تړاو لري؟ او (RQ3) څنګه د کوډینګ کمښتونو سره تړاو لري؟ د کوډینګ کمښتونو سره تړاو لري. د دې لپاره، موږ د 135,560 کوډینګ کمښتونو سره تړاو لري چې د کوډینګ کمښتونو سره تړاو لري چې د کوډینګ کمښتونو سره تړاو لري. بيا، موږ د 6146 کوډینګ کمښتونو سره تړ د کورس مطالعې پایلې ښیي چې د CWE-699 کې د 40 کټګوریو څخه د 35 په اړه د کوډ کولو ضعیفې په پروسه کې د OpenSSL او PHP (RQ1) کوډ بیاکتنې پروسه کې راټول شوي دي. د مثال په توګه، د کوډ کولو ضعیفې په اړه د تصدیق، رخصتۍ او API په دوامداره توګه په دوو مطالعې پروژو کې راټول شوي دي. هر مطالعې پروژې د کوډ کولو ضعیفې هم لري چې په کوډ بیاکتنې کې راټول شوي دي، لکه د OpenSSL او د پی ایچ پی کې د انټرنټ ډاټا د تصدیق کې مستقیم امنیت ضعیفې. دا پایلې ښیي چې د کوډ کولو ضعیفې چې د امنیت ستونزو سره په ډیرو صورتونو کې (39٪-41٪)، د پروګرامانو هڅه وکړه چې ستونزې حل کړي. په هرصورت، د کوډینګ کمښتونو په ټوله کې (30٪-36٪) یوازې په مستقیم ډول د اصلاحاتو له الرې تایید شوي دي (یا د کوډونو کې د بدلونونو لپاره د اضافي بدلونونه نه). موږ وګورئ چې د معلوم شوي ستونزو څخه ځینې په نوي انفرادي کوډ بدلونونو کې (10٪-18٪) حل شوي دي او ځینې د مناسب حل په اړه د اختلافاتو له امله حل نه شوي دي (18٪-20٪). په پرتله کوچنۍ برخه کې د حل شوي ستونزو (14%-26٪) د بحث له الرې حل شوي او د حل کولو له الرې حل شوي دي. د ټولو سټینرونو څخه، موږ د خطرناک حالتونو (6٪-9٪) وګورئ چې د امنیت د پایلو پر بنسټ، موږ د سافټویر پروژو ته د کوډ کولو ضعیفې کټګوریو (یا د CWE-699) په توګه د کوډ کولو ضعیفې چې کولی شي د کوډ بیاکتنې کې د خونديتوب ستونزې رامینځته کولو لپاره لارښوونه وکاروي. د کوډ کولو ضعیفې کولی شي د معنی، پیاوړتیا، او د کوډ کولو ضعیفې ځانګړي ټولګه په اساس priorized شي چې د مخکښ کوډ بیاکتنې کې رامینځته شوي. زموږ کار هم د کوډ بیاکتنې پروسه د خونديتوب ستونزې (یا د ناکام پایلې، غیر حل شوي بحث، او غیر ځواب شوي) په کارولو کې یو ضعیف رامینځته کوي چې ممکن د راتلونکي کار ته اړتیا لري. زموږ د معلوماتو په ښه توګه، دا مقاله لومړی دی چې د کوډ بیاکتنې په تجربو کې څیړنه کوي د کوډ کولو ضعیفې چې د خوندیتوب ستونزو سره تړاو لري او د معلوماتو ضعیفې سره تړاو لري، د کوډ بیاکتنې د احتمالي خوندیتوب ستونزو د مخکښ مخکښ کولو لپاره احتمالي ګټې ته وده ورکوي. دوهم، موږ د نوي نیمه اتوماتیک لارښوونې وړاندې کوو چې د ډومین په ځانګړې توګه د مخکښ شوي کلمه داخل کولو ماډل څخه ګټه واخلئ ترڅو د خوندیتوب ستونزو سره تړاو لري. درې، موږ د مطالعو شوي سیستمونو کې د معلوماتو ضعیفې او د کوډ کولو ضعیفې چې معمولا د کوډ بیاکتنې پروسې په اوږدو کې راټول کیږي تر منځ د Novelty & Contributions: موږ په دې مطالعې کې د معلوماتو د ترلاسه کولو او د معلوماتو تحلیل لپاره سکرپټونو د اضافي موادو1 سره د اضافي څیړنې ته وده ورکړي. Data Availability: په برخه کې 2 د پیژندل او د اړونده کار څیړنه کوي. په برخه کې 3 د د کوډ کولو ضعیفې له امله د ضعیفې د مثالونو ښودل کوي. په برخه کې 4 د کورس مطالعې ډیزاین توضیح کوي. په برخه کې 5 د لومړنۍ تجزیه لاره او پایلې توضیح کوي. په برخه کې 6 د پایلو راپور کوي. په برخه کې 7 د اغیزو او لارښوونې په اړه بحث کوي. په برخه کې 8 د ضعیفې توضیح کوي چې ممکن د دې مطالعې اغیزمنتیا ته اغیزمن شي. په پایله کې، په برخه کې 9 د پایلو پایله کوي. Paper Organization: دا کاغذ د CC by 4.0 Deed (Attribution 4.0 International) لائسنس لاندې archiv کې شتون لري. دا کاغذ د د CC by 4.0 Deed (Attribution 4.0 نړیوال) لائسنس لاندې. په Archive کې شتون لري په Archive کې شتون لري
![[Writing Prompt] Thrilled to be Recognized as [*Insert Award Title Name*]](https://hackernoon.imgix.net/images/VtoJ3xJJ7EOwWbJEq11aca6nNNh1-bd93wj3.jpeg?auto=format&fit=max&w=3840)
