IacSec

Artifact هي صورة Docker التي تحتوي على رمز مصدر للبناء الأمني ​​للبنية التحتية كرمز (SLIC). SLIC هي أداة تحليل ثابتة تبحث عن رائحة الأمان في البنية التحتية ككود (IAC) البرامج النصية. تتضمن صورة Docker أيضًا الدلائل التي لدينا نصوص دمية نديرها SLIC ونؤدي تحليلًا تجريبيًا. أسهل طريقة لتشغيل SLIC هي تنفيذ التعليمات 1-8 المذكورة أدناه.

يتم سرد الروائح الأمنية السبع في ورقة ICSE 2019 "The Seven Sins: Security Smools in Infrastructure كرمز". ما قبل طباعة الورقة متوفرة هنا: https://akondrahman.github.io/papers/icse19_slic.pdf

Artifact متاح هنا: https://cloud.docker.com/repository/docker/akondrahman/ruby_for_sp/general

التبعيات: Docker

تعليمات لتكرار:

1. تثبيت Docker على جهاز الكمبيوتر الخاص بك
2. اذهب إلى المحطة
3. قم بتشغيل Command docker pull akondrahman/ruby_for_sp
4. قم بتشغيل Command docker run -it --name slic akondrahman/ruby_for_sp bash
5. قم بتشغيل Command cd /SecurityInIaC/IacSec/SLIC/

للحصول على نتائج لبعض البرامج النصية للاختبار ، يستغرق إكمال 0.04 دقيقة . تشغيل python main.py -t . سيقوم هذا الأمر بتنفيذ SLIC لنصوص الاختبار. عند الانتهاء من تحليل Dumped CSV output file of 1197 bytes ، سيتم عرض Dumped symbolic output PICKLE of 6 bytes ، Duration: 0.0453675349553 minutes ، مما يشير إلى أن تنفيذ SLIC قد اكتمل.

للحصول على نتائج مستودعات Mozilla ، يستغرق إكمال 251 دقيقة . اتبع الخطوات 6-8:

6. تشغيل python main.py -m . سيقوم هذا الأمر بتنفيذ SLIC للبرامج النصية التي تم جمعها من مستودعات Mozilla. عند الانتهاء من تحليل Dumped CSV output file of XXX bytes ، Dumped symbolic output PICKLE of XXX bytes ، Ended at:XXX ، مما يشير إلى أن تنفيذ SLIC قد اكتمل وأنشأ ملفات النتائج المستخدمة للإجابة على RQ2 و RQ3.
7. تشغيل cd /SecurityInIaC/IacSec/analysis/
8. تشغيل python frq_cnt.py -m . عند التنفيذ ، سيتم الحصول على نتائج RQ2. قارن النتائج التي تم الحصول عليها مع النتائج الواردة في الجدول الثامن من الورقة. النتائج التي تتوافق مع شهر 2018-06 ، تتوافق مع النتائج الواردة في الورقة.

للحصول على نتائج مستودعات OpenStack ، يستغرق إكمال 725 دقيقة . اتبع الخطوات 6-8:

6. تشغيل python main.py -o . سيقوم هذا الأمر بتنفيذ SLIC للبرامج النصية التي تم جمعها من مستودعات OpenStack. عند الانتهاء من تحليل Dumped CSV output file of XXX bytes ، Dumped symbolic output PICKLE of XXX bytes ، Ended at:XXX ، مما يشير إلى أن تنفيذ SLIC قد اكتمل وأنشأ ملفات النتائج المستخدمة للإجابة على RQ2 و RQ3.
7. تشغيل cd /SecurityInIaC/IacSec/analysis/
8. تشغيل python frq_cnt.py -o . عند التنفيذ ، سيتم الحصول على نتائج RQ2. قارن النتائج التي تم الحصول عليها مع النتائج الواردة في الجدول الثامن من الورقة. النتائج التي تتوافق مع شهر 2018-06 ، تتوافق مع النتائج الواردة في الورقة.

للحصول على نتائج مستودعات ويكيميديا ​​، يستغرق إكمال 286 دقيقة . اتبع الخطوات 6-8:

6. تشغيل python main.py -w . سيقوم هذا الأمر بتنفيذ SLIC للبرامج النصية التي تم جمعها من مستودعات ويكيميديا. عند الانتهاء من تحليل Dumped CSV output file of XXX bytes ، Dumped symbolic output PICKLE of XXX bytes ، Ended at:XXX ، مما يشير إلى أن تنفيذ SLIC قد اكتمل وأنشأ ملفات النتائج المستخدمة للإجابة على RQ2 و RQ3.
7. تشغيل cd /SecurityInIaC/IacSec/analysis/
8. تشغيل python frq_cnt.py -w . عند التنفيذ ، سيتم الحصول على نتائج RQ2. قارن النتائج التي تم الحصول عليها مع النتائج الواردة في الجدول الثامن من الورقة. النتائج التي تتوافق مع شهر 2018-06 ، تتوافق مع النتائج الواردة في الورقة.

للحصول على نتائج مستودعات Github ، يستغرق إكمال 1431.9 دقيقة . اتبع الخطوات 6-8:

6. تشغيل python main.py -g . سيقوم هذا الأمر بتنفيذ SLIC للبرامج النصية التي تم جمعها من مستودعات GitHub. عند الانتهاء من تحليل Dumped CSV output file of XXX bytes ، Dumped symbolic output PICKLE of XXX bytes ، Ended at:XXX ، مما يشير إلى أن تنفيذ SLIC قد اكتمل وأنشأ ملفات النتائج المستخدمة للإجابة على RQ2 و RQ3.
7. تشغيل cd /SecurityInIaC/IacSec/analysis/
8. تشغيل python frq_cnt.py -g . عند التنفيذ ، سيتم الحصول على نتائج RQ2. قارن النتائج التي تم الحصول عليها مع النتائج الواردة في الجدول الثامن من الورقة. النتائج التي تتوافق مع شهر 2018-06 ، تتوافق مع النتائج الواردة في الورقة.

خلاصة:

العنوان الورقي: الخطايا السبعة: رائحة الأمان في البنية التحتية كنصوص رمز

يستخدم الممارسون البنية التحتية كرمز (IAC) البرامج النصية لخوادم توفير وبيئات التطوير. أثناء تطوير البرامج النصية IAC ، قد يقدم الممارسون عن غير قصد رائحة الأمن. رائحة الأمن هي أنماط الترميز المتكررة التي تدل على ضعف الأمن ويمكن أن تؤدي إلى انتهاكات أمنية. الهدف من مشاركة قطعة أثرية البحث هو مساعدة ممارسي البرمجيات والباحثين على استخدام أمن أدوات التحليل الثابت لدينا للبنية التحتية كرمز (SLIC) لتحديد رائحة الأمن في البنية التحتية كنصوص رمز. نحن نتقدم بطلب للحصول على الشارة المتاحة. نحن نقدم قطعة أثرية بحثية تستند إلى Docker لاستخدام وتكرار النتائج الرئيسية المقدمة في الورقة. Artifact هي صورة Docker التي تحتوي على رمز المصدر لـ SLIC. تتضمن صورة Docker أيضًا الدلائل التي لدينا نصوص دمية نديرها SLIC ونؤدي تحليلًا تجريبيًا. لتشغيل أدوتنا ، يجب تثبيت Docker. المهارات الأساسية في Docker كافية مثل "Docker Pull" و "Docker Run". لقد قدمنا ​​تعليمات مفصلة على التثبيتات وكيفية تشغيل الأداة في readme.md و install.md. doi للأداة: https://doi.org/10.6084/m9.figshare.6943316