软件工程学术顶会——ICSE 2023 议题(网络安全方向)清单与摘要

这篇具有很好参考价值的文章主要介绍了软件工程学术顶会——ICSE 2023 议题(网络安全方向)清单与摘要。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

按语:IEEE/ACM ICSE全称International Conference on Software Engineering,是软件工程领域公认的旗舰学术会议,中国计算机学会推荐的A类国际学术会议,Core Conference Ranking A*类会议,H5指数74,Impact score 11.55。2023年完整的议题清单参考此处:https://conf.researchr.org/program/icse-2023/program-icse-2023,有些议题并没有公开pdf,涉及网络安全议题的只有6篇。虽然会议属于软件工程领域,但是每年都会有一些安全议题,比如近2年都会有Fuzzing,AI  for security相关议题,也是值得关注的研究方向。

软件工程学术顶会——ICSE 2023 议题(网络安全方向)清单与摘要,软件工程,web安全,安全

1、ASTRO: An AST-Assisted Approach for Generalizable Neural Clone Detection

神经克隆检测已经引起了软件工程研究人员和从业者的关注。然而,大多数神经克隆检测方法无法推广到训练数据集中未出现的克隆范围之外。这导致模型性能不佳,尤其是在模型召回率方面。在本文中,我们提出了一种抽象语法树(AST)辅助的通用神经克隆检测方法,即ASTRO,这是一种用于在反映行业实践的代码库中查找克隆的框架。我们提出了三个主要组成部分:(1)一种基于AST的源代码表示形式,利用程序结构和语义;(2)一个全局图表示,捕获AST在程序语料库中的上下文;(3)一个程序的图嵌入,与现有的大规模语言模型相结合,提高了最先进的代码克隆检测技术。我们的实验结果表明,ASTRO在召回率和F-1得分方面均优于最先进的神经克隆检测方法。

https://arxiv.org/pdf/2208.08067.pdf

软件工程学术顶会——ICSE 2023 议题(网络安全方向)清单与摘要,软件工程,web安全,安全

2、Truth or Dare: Real-World Fuzz Testing of UAVs in Flight

小型无人机系统(sUAS)在高压应急响应场景中部署时需要满足严格的安全要求。这需要对硬件、软件、通信网络和人机交互点进行系统测试。模糊测试在查找边缘情况下的故障方面特别有效,这些故障可能会被忽略。在物理-数字系统中,如sUAS,测试通常从模拟转移到实际世界。但是,即使在模拟中完美执行的测试有时也可能在物理sUAS上运行时出现严重失败,凸显了增强模拟与现实世界模糊测试的重要性。不幸的是,真实世界的模糊测试不仅非常耗时,而且可能是危险的,因为有效模糊测试产生的必然失败可能会导致sUAS冲毁或飞走。在本次演讲中,Cleland-Huang将借鉴她自己在开发和验证sUAS应用软件方面的真实经验,并探讨现场模糊测试的‘真相’和‘挑战’。事实是,在进行物理飞行测试的正常过程中,意外的错误输入值可能会导致严重的失败和崩溃,但是在系统中暴露需要修改的脆弱点时也可能非常有帮助。然而,意外的模糊测试远远达不到真正模糊测试的系统目标,引入了如何在现场安全地部署模糊测试的非微不足道的困境。本次演讲通过探讨一种系统化的方法来对物理sUAS系统进行模糊测试,从而使测试人员能够在可能被模拟忽略的边缘情况下识别现实世界的弱点。最终结果是增强了真实世界sUAS系统的稳健性。

软件工程学术顶会——ICSE 2023 议题(网络安全方向)清单与摘要,软件工程,web安全,安全

3、Automatic Detection of Security Deficiencies and Refactoring Advises for Microservices

微服务架构使组织能够缩短开发周期并快速交付云原生应用程序。然而,它也带来了需要开发人员解决的安全问题。因此,在微服务中进行安全测试变得更加关键。最近的研究论文表明,由于缺乏时间、缺乏安全领域的经验和缺乏自动化测试环境等原因,微服务的安全测试经常被忽略。尽管存在多种安全扫描工具来检测容器、容器化工作负载管理(Kubernetes)和网络问题,但是单个工具无法覆盖微服务中的所有安全问题。使用多个扫描工具会增加分析结果和缓解安全漏洞的复杂性。本文提出了一个完全自动化的测试工具套件,可以帮助开发人员解决微服务中的安全问题并解决它们。它旨在通过将开源扫描工具封装到一个套件中并提供改进的反馈来减少安全活动的时间和精力。开发的安全扫描套件名为石榴(Pomegranate)。为了开发Pomegranate,我们采用了设计科学,并在Ericsson进行了调查。我们使用静态方法评估了我们的工具。评估结果表明,Pomegranate可以通过提供简化和分类的输出来帮助开发人员检测微服务中的安全漏洞。超过一半的从业者给我们反馈,他们发现Pomegranate有助于检测和缓解微服务中的安全问题。我们得出结论,一个完全自动化的测试工具套件可以帮助开发人员解决微服务中的大多数安全问题。基于本文的发现,未来的工作方向是在实时项目中对Pomegranate进行动态验证。

https://ieeexplore.ieee.org/document/10169061/

软件工程学术顶会——ICSE 2023 议题(网络安全方向)清单与摘要,软件工程,web安全,安全

4、On the Strengths of Pure Evolutionary Algorithms in Generating Adversarial Examples

深度学习(DL)模型被认为是高精度的,但容易受到对抗性样本的攻击。早期的研究集中于使用白盒策略生成对抗性样本,后来的研究则专注于黑盒策略,因为模型通常不可被外部攻击者访问。以前的研究表明,基于近似梯度下降算法和元启发式搜索的黑盒方法(即BMI-FGSM算法)优于之前提出的白盒和黑盒策略。在本文中,我们提出了一种基于差分进化(DE)的全新黑盒方法,纯粹依靠差分进化来生成对抗性攻击,而不使用任何梯度近似方法。我们提出了两个自定义变异算子的定制DE变体:(1)单目标(Pixel-SOO)变体,生成欺骗DL模型的攻击,(2)多目标(Pixel-MOO)变体,同时最小化生成攻击中的改变数量。我们在五个经典图像分类模型上进行了初步研究,结果表明Pixel-SOO和Pixel-MOO比现有的BMI-FGSM更有效地生成对抗性攻击。此外,Pixel-SOO比Pixel-MOO更快,而后者产生的攻击比其单目标变体更微妙。

https://pure.tudelft.nl/ws/portalfiles/portal/149088283/V4_Less_is_More_Minimal_Adversarial_Example_Generation_with_Multi_objective_Search_1.pdf

软件工程学术顶会——ICSE 2023 议题(网络安全方向)清单与摘要,软件工程,web安全,安全

5、Continuous Fuzzing: A Study of the Effectiveness and Scalability of Fuzzing in CI/CD Pipelines

模糊测试已经被证明是一种自动化软件测试的基本技术,但也是一种代价高昂的技术。随着CI/CD实践在软件开发中的广泛应用,一个自然的问题是“考虑到代码变化的速度和自动化的交付/部署实践,将模糊测试集成到CI/CD管道中的最佳方法是什么?”事实上,Böhme和Zhu最近的一项研究表明,每五个bug中有四个是由最近的代码更改(即回归)引入的。在本文中,我们从自动化软件测试和持续开发的角度,着眼于将模糊测试器集成到CI/CD管道中。首先,我们研究了一种优化机会,即筛选出不需要模糊测试的提交,并通过实验分析发现,在我们分析的9个库中,平均模糊测试的工作量可以减少约63%(对于其中6个库而言,可以减少超过40%)。其次,我们研究了模糊测试运行时间对CI/CD过程的影响:短时间的模糊测试(例如15分钟)有助于更快的管道,仍然可以发现重要的bug,但可能会降低发现复杂bug的能力。最后,我们讨论了一种优先级策略,可以根据一组预定义的优先级策略自动为模糊测试活动分配资源。我们的研究结果表明,持续模糊测试(作为CI/CD自动化测试的一部分)确实是有益的,而且有许多优化机会可以提高模糊测试的有效性和可扩展性。

https://arxiv.org/pdf/2205.14964.pdf

软件工程学术顶会——ICSE 2023 议题(网络安全方向)清单与摘要,软件工程,web安全,安全

6、Grammar-Based Evolutionary Fuzzing for JSON-RPC APIs

Web应用程序编程接口(API)允许通过编程方式访问系统,并构成互联网的基础。RESTful和RPC API是最常用的API架构之一。在过去的几十年中,研究人员提出了各种自动化测试RESTful API的技术,但据作者所知,没有关于测试JSON-RPC(RPC支持的两种数据格式之一)API的工作。为了解决这个限制,我们提出了一种基于语法的进化模糊测试方法,用于测试使用JSON-RPC API的方法,并使用一种新颖的黑盒启发式算法。具体来说,我们使用基于层次聚类的多样性适应度函数来量化API方法响应之间的差异。我们的假设是,与以前看到的响应不同的响应表明已到达新的未发现的代码路径。我们在使用JSON-RPC API的大型工业区块链系统XRP分类账上评估了我们的方法。我们的结果表明,所提出的方法比基线(基于语法的模糊测试器)表现显著优异,并覆盖了额外的240个分支。

https://research.tudelft.nl/en/publications/grammar-based-evolutionary-fuzzing-for-json-rpc-apis文章来源地址https://www.toymoban.com/news/detail-602933.html

到了这里,关于软件工程学术顶会——ICSE 2023 议题(网络安全方向)清单与摘要的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 2023软件测试工程师必备技能?要卷,谁还不会了......

    软件测试岗位是怎样的? 大伙:测试?简单啊,没什么技术含量,无非就是看需求、看业务手册、看设计文档、然后点点功能是否实现,麻烦点的就是测试下部署安装是否出现兼容性问题等 web自动化测试:https://www.bilibili.com/video/BV1MS4y1W79K/ 没错,不可否认这是踏入软件测试

    2023年04月20日
    浏览(67)
  • 2023年软件测试工程师,初级到高级进阶路线指南,测试之路...

    提到软件测试工程师时,很多人依然会联想到那些“点点点”并企图在“点点点”中找到缺陷的人,也就是大家常说的依照测试规范和测试案例来对软件进行测试,检查软件是不是有缺陷,判断软件是不是稳定。但这其实是一个很不好的观点。 近年来,随着各大互联网企业的

    2024年02月09日
    浏览(62)
  • 2023软件测试工程师涨薪攻略,3年如何达到30K?

    首先涨薪并不是从8000涨到9000这种涨薪,而是从8000涨到15K加到25K的涨薪。基本上三年之内就可以实现。 如果我们只是普通的有应届毕业生或者是普通本科那我们就只能从小公司开始慢慢往上走。 有些同学想去做测试,是希望能够日后收入能够买房买车,然后能够让我在大城

    2024年02月06日
    浏览(64)
  • 2023非常全的接口测试面试题及参考答案-软件测试工程师没有碰到算我输

    接口测试最近几年被炒的火热了,越来越多的测试同行意识到接口测试的重要性。接口测试为什么会如此重要呢? 主要是平常的功能点点点,大家水平都一样,是个人都能点,面试时候如果问你平常在公司怎么测试的,你除了说点点点,还能说什么呢,无非就是这个项目点完

    2023年04月17日
    浏览(56)
  • 【软件工程】软件工程习题及答案

    软件工程是一种系统化、规范化的方法论,用于开发、维护和管理软件项目。它涵盖了软件开发的各个方面,包括需求分析、设计、编码、测试、部署、维护和项目管理等。 软件工程通过应用科学原理、工程技术和管理方法,以及适应性的实践,旨在提高软件开发的效率、质

    2024年02月09日
    浏览(70)
  • 【软件工程】《软件工程》期末复习提纲

    《软件工程》期末复习提纲 第一章 第二章 第三章 第四章 第五章 第六章 第七章 第八章 第九章 第十章 第十一章 第十二章 第十三章 第十四章 小题参考 大题参考 1.在下列选项中,( )不是软件的特征。 A.系统性与复制性         B.可靠性与一致性 C.抽象性与智能性  

    2024年01月17日
    浏览(49)
  • 【软件工程】软件工程期末考试试卷

    瀑布模型把软件生命周期划分为八个阶段 :问题的定义、可行性研究、软件需求分析、系统总体设计、详细设计、编码、测试和运行、维护。八个阶段又可归纳为三个大的阶段: 计划阶段、开发阶段和( C) 。   A、详细计划 B、可行性分析  C 、 运行阶段  D、 测试与排错

    2024年02月09日
    浏览(53)
  • 【软件工程】软件工程期末考试复习题

    软件工程期末考试试题及参考答案 一、单向选择题 1、软件的发展经历了(D)个发展阶段。 一 二 三 四 2、需求分析的任务不包括(B)。 问题分析 系统设计 需求描述 需求评审。 3、一个软件的宽度是指其控制的(C)。 模块数 层数 跨度 厚度 4、当模块中包含复杂的条件组

    2024年02月10日
    浏览(53)
  • 【软件工程】山东大学软件工程复习提纲

    涵盖所有考点,复习绝对高效,点赞+留邮箱获取pdf版本 本提纲可以完全摘抄,考试命中率100%,先上考试带的A4纸: 1. 软件工程三要素 方法:为软件开发提供了“如何做 ”的技术,如项目计划与估算、软件系统需求分析、数据结构、系统总体结构的设计等; 工具:为软件工

    2024年02月13日
    浏览(43)
  • 【软件工程】为什么要选择软件工程专业?

    个人主页:【😊个人主页】 软件工程是一门研究用工程化方法构建和维护有效、实用和高质量的软件的学科。就当下主流趋势来看,其有着无限的未来。接下来我将以六个方面来谈谈我对软件工程专业的看法: 软件工程是一门研究用工程化方法构建和维护有效、实用和高质

    2023年04月19日
    浏览(51)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包