IacSec

Das Artefakt ist ein Docker -Image, das Quellcode für Sicherheitslinter für Infrastruktur als CODE (SLIC) enthält. SLIC ist ein statisches Analyse -Tool, das nach Sicherheitsgerüchen in der Infrastruktur als CODE (IAC) -Skripte sucht. Das Docker -Bild enthält auch die Verzeichnisse, in denen wir Puppenskripte haben, für die wir SLIC ausführen und empirische Analysen durchführen. Der einfachste Weg, SLIC auszuführen, besteht darin, die unten erwähnten Anweisungen 1-8 auszuführen.

Die sieben Sicherheitsgerüche sind in unserem ICSE 2019 -Artikel "The Seven SINS: Sicherheitsgerüche in der Infrastruktur als Code" aufgeführt. Der Vorabdruck des Papiers ist hier verfügbar: https://akondrahman.github.io/papers/icse19_slic.pdf

Das Artefakt ist hier verfügbar

Abhängigkeiten: Docker

Anweisungen zu replizieren:

1. Installieren Sie Docker auf Ihrem Computer
2. Gehen Sie zum Terminal
3. Führen Sie den Befehl docker pull akondrahman/ruby_for_sp
4. Führen Sie den Befehl docker run -it --name slic akondrahman/ruby_for_sp bash
5. Führen Sie die Befehls cd /SecurityInIaC/IacSec/SLIC/

Um die Ergebnisse für ein paar Testskripte zu erhalten, dauert die Fertigstellung von 0,04 Minuten . Rennen Sie python main.py -t . Dieser Befehl führt SLIC für die Testskripte aus. Nach Abschluss der Analyse Dumped CSV output file of 1197 bytes , Dumped symbolic output PICKLE of 6 bytes und Duration: 0.0453675349553 minutes angezeigt, was darauf hinweist, dass die Ausführung von SLIC abgeschlossen ist.

Um die Ergebnisse für die Mozilla -Repositories zu erhalten, dauert es 251 Minuten, bis sie abgeschlossen sind . Befolgen Sie die Schritte 6-8:

6. Rennen Sie python main.py -m . Dieser Befehl führt SLIC für die von den Mozilla -Repositories gesammelten Skripte aus. Nach Abschluss der analyse Dumped CSV output file of XXX bytes , Dumped symbolic output PICKLE of XXX bytes und Ended at:XXX wird angezeigt, was darauf hinweist, dass die Ausführung von SLIC vollständig ist und die Ergebnisdateien generiert werden, die zur Beantwortung von RQ2 und RQ3 verwendet werden.
7. Führen Sie cd /SecurityInIaC/IacSec/analysis/
8. Führen Sie python frq_cnt.py -m aus. Bei der Ausführung werden die Ergebnisse von RQ2 erhalten. Vergleichen Sie erhaltene Ergebnisse mit den in Tabelle VIII des Papiers dargestellten Ergebnisse. Die Ergebnisse, die dem Monat 2018-06 entsprechen, entsprechen den im Papier vorgestellten Ergebnissen.

Um die Ergebnisse für die OpenStack -Repositories zu erhalten, dauert die Fertigstellung 725 Minuten . Befolgen Sie die Schritte 6-8:

6. Rennen Sie python main.py -o . Dieser Befehl führt SLIC für die von den OpenStack -Repositories gesammelten Skripte aus. Nach Abschluss der analyse Dumped CSV output file of XXX bytes , Dumped symbolic output PICKLE of XXX bytes und Ended at:XXX wird angezeigt, was darauf hinweist, dass die Ausführung von SLIC vollständig ist und die Ergebnisdateien generiert werden, die zur Beantwortung von RQ2 und RQ3 verwendet werden.
7. Führen Sie cd /SecurityInIaC/IacSec/analysis/
8. Führen Sie python frq_cnt.py -o aus. Bei der Ausführung werden die Ergebnisse von RQ2 erhalten. Vergleichen Sie erhaltene Ergebnisse mit den in Tabelle VIII des Papiers dargestellten Ergebnisse. Die Ergebnisse, die dem Monat 2018-06 entsprechen, entsprechen den im Papier vorgestellten Ergebnissen.

Um die Ergebnisse für die Wikimedia -Repositories zu erhalten, dauert es 286 Minuten, bis sie abgeschlossen sind . Befolgen Sie die Schritte 6-8:

6. Rennen Sie python main.py -w . Dieser Befehl wird SLIC für die von den Wikimedia -Repositories gesammelten Skripte ausführen. Nach Abschluss der analyse Dumped CSV output file of XXX bytes , Dumped symbolic output PICKLE of XXX bytes und Ended at:XXX wird angezeigt, was darauf hinweist, dass die Ausführung von SLIC vollständig ist und die Ergebnisdateien generiert werden, die zur Beantwortung von RQ2 und RQ3 verwendet werden.
7. Führen Sie cd /SecurityInIaC/IacSec/analysis/
8. Führen Sie python frq_cnt.py -w aus. Bei der Ausführung werden die Ergebnisse von RQ2 erhalten. Vergleichen Sie erhaltene Ergebnisse mit den in Tabelle VIII des Papiers dargestellten Ergebnisse. Die Ergebnisse, die dem Monat 2018-06 entsprechen, entsprechen den im Papier vorgestellten Ergebnissen.

Um die Ergebnisse für die Github -Repositories zu erhalten, dauert die Fertigstellung 1431,9 Minuten . Befolgen Sie die Schritte 6-8:

6. Rennen Sie python main.py -g . Dieser Befehl führt SLIC für die von den Github -Repositories gesammelten Skripte aus. Nach Abschluss der analyse Dumped CSV output file of XXX bytes , Dumped symbolic output PICKLE of XXX bytes und Ended at:XXX wird angezeigt, was darauf hinweist, dass die Ausführung von SLIC vollständig ist und die Ergebnisdateien generiert werden, die zur Beantwortung von RQ2 und RQ3 verwendet werden.
7. Führen Sie cd /SecurityInIaC/IacSec/analysis/
8. Führen Sie python frq_cnt.py -g . Bei der Ausführung werden die Ergebnisse von RQ2 erhalten. Vergleichen Sie erhaltene Ergebnisse mit den in Tabelle VIII des Papiers dargestellten Ergebnisse. Die Ergebnisse, die dem Monat 2018-06 entsprechen, entsprechen den im Papier vorgestellten Ergebnissen.

Abstrakt:

Papier Titel: Die sieben Sünden: Sicherheitsgerüche in der Infrastruktur als Codeskripte

Praktiker verwenden Infrastruktur als Code (IAC) -Skripte (Codes), um Server und Entwicklungsumgebungen zu profitieren. Während der Entwicklung von IAC -Skripten können Praktiker versehentlich Sicherheitsgerüche einführen. Sicherheitsgerüche sind wiederkehrende Codierungsmuster, die auf Sicherheitsschwäche hinweisen und möglicherweise zu Sicherheitsverletzungen führen können. Das Ziel, das Forschungsartefakt zu teilen, ist es, Software -Praktikern und Forschern bei der Verwendung unseres statischen Analyse -Tool -Sicherheits -Verluses für Infrastruktur als Code (SLIC) zu unterstützen, um Sicherheitsgerüche in der Infrastruktur als Codeskripte zu identifizieren. Wir beantragen das verfügbare Abzeichen. Wir bieten ein auf Docker basierendes Forschungsartefakt zur Verwendung und Replikation der wichtigsten Erkenntnisse in der Arbeit. Das Artefakt ist ein Docker -Bild, das Quellcode für SLIC enthält. Das Docker -Bild enthält auch die Verzeichnisse, in denen wir Puppenskripte haben, für die wir SLIC ausführen und empirische Analysen durchführen. Um unser Tool auszuführen, muss Docker installiert werden. Grundkenntnisse in Docker sind ausreichend wie "Docker Pull" und "Docker Run". Wir haben detaillierte Anweisungen zu Installationen und zum Ausführen des Tools in Readme.md und install.md gegeben. Doi für das Tool: https://doi.org/10.6084/m9.fighare.6943316