Key points are not available for this paper at this time.
セキュリティの検査とテストには、攻撃者のように考えるセキュリティの専門家が必要です。セキュリティの専門家は、テストや検査の努力を集中させるコードの位置を理解する必要があります。脆弱性は稀に起こるため、脆弱なコードの位置を特定することは難しい作業です。我々は、ソースコードと開発履歴から得られたソフトウェアメトリクスが脆弱なコードの位置を識別および予測できるかどうかを調査しました。もし可能であれば、セキュリティの専門家はこの予測を利用して、セキュリティの検査とテストの優先順位を決定できます。我々が調査したメトリクスは、複雑性、コード変更、および開発者活動メトリクスの3つのカテゴリに分けられます。Mozilla FirefoxウェブブラウザとRed Hat Enterprise Linuxカーネルという大規模で広く使用されているオープンソースプロジェクトに対して、2つの実証的ケーススタディを実施しました。その結果、収集した28のメトリクスのうち24が両プロジェクトの脆弱性を識別しました。すべての3種類のメトリクスを組み合わせたモデルは、両プロジェクトで既知の脆弱なファイルの80%以上を予測し、25%未満の誤検知率を記録しました。検査とテストのためのファイルをランダムに選択するのと比較して、これらのモデルは両プロジェクトにおいて検査またはテストを行う必要のあるファイル数とコード行数をそれぞれ71%および28%以上減少させることができました.
Shin et al. (火曜日) はこの問題を研究しました。
Synapse has enriched 5 closely related papers on similar clinical questions. Consider them for comparative context: