2011 Fiscal Year Annual Research Report
| Project/Area Number |
21500043
|
|---|
| Research Institution | Ritsumeikan University |
|---|
Principal Investigator |
丸山 勝久 立命館大学, 情報理工学部, 教授 (30330012)
|
|---|
| Keywords | ソースコード変更 / リファクタリング / プログラム解析 / 統合開発環境 / ソフトウェアセキュリティ / 情報フロー / プログラム理解 / ソフトウェア視覚化 |
|---|
| Research Abstract |
本研究は、ソフトウェア変更がその安全性(脆弱性)の増減にどのような影響を与えるのかを、ソースコード解析技術に基づき明らかにすることを目的としている。平成23年度は、主に3つの研究を実施した。
1.リファクタリングの適用によりコード内部の脆弱性がどのように変化するのかを明らかにする検討を22年度に引き続き実施し、アクセス修飾子の変化と情報フローの概念を組み合わせた評価基準に基づくリファクタリング支援ツールの構築の実装と改良を進めた。さらに、機密データの存在範囲(格納場所あるいは観測可能場所)やサブクラス化の有無による脆弱性混入を検出する評価基準の検討に取り組み、この基準において検出可能な脆弱性が混入する可能性を持つリファクタリングを洗い出し、それらの変換の自動化を一部実現した。
2.ソースコード変更と脆弱性の混入との関係を明確にするという観点から、ソースコード変更を細粒度で記録した編集操作履歴を分析し、過去に行われたソースコード変更をより効率的かつ正確に検出する手法の検討を行った。この手法を実装したツール用いて簡単な実験を行った結果、細粒度な編集操作履歴を用いることにより、従来の分析に比べてより正確なコード変化(code changes)が特定できることを確認できた。
3.大規模ソフトウェアに潜在する、および、その進化において混入した脆弱コードを容易に見つけることを目指して、ソースコードの可視化ツールを実現した。このツールでは、森林を可視化のメタファに採用し、セキュリティ特性を含むさまざまなメトリクス値を可視化の特性(属性)に割り当てることができる。このような可視化がセキュリティに関する不吉な匂い(security smells)の特定に役立つ可能性を示すことに成功した。
|
