IacSec

아티팩트는 코드 (SLIC)로 인프라를위한 보안 선원을위한 소스 코드를 포함하는 Docker 이미지입니다. SLIC는 코드 (IAC) 스크립트로 인프라에서 보안 냄새를 찾는 정적 분석 도구입니다. Docker 이미지에는 SLIC을 실행하고 경험적 분석을 수행하는 꼭두각시 스크립트가있는 디렉토리도 포함되어 있습니다. SLIC를 실행하는 가장 쉬운 방법은 아래에 언급 된 지침 1-8을 실행하는 것입니다.

7 가지 보안 냄새는 ICSE 2019 논문 'The Seven Sins : 안보 냄새가 코드로 인프라 냄새'에 나와 있습니다. 이 논문의 사전 프린트는 여기에서 제공됩니다 : https://akondrahman.github.io/papers/icse19_slic.pdf

아티팩트는 여기에서 제공됩니다 : https://cloud.docker.com/repository/docker/akondrahman/ruby_for_sp/general

종속성 : Docker

복제하는 지침 :

1. 컴퓨터에 Docker를 설치하십시오
2. 터미널로 이동하십시오
3. 명령 docker pull akondrahman/ruby_for_sp 실행하십시오
4. 명령 docker run -it --name slic akondrahman/ruby_for_sp bash
5. cd /SecurityInIaC/IacSec/SLIC/

몇 가지 테스트 스크립트에 대한 결과를 얻으려면 완료하는 데 0.04 분이 걸립니다. python main.py -t 실행하십시오. 이 명령은 테스트 스크립트의 SLIC을 실행합니다. 분석이 완료되면 Dumped CSV output file of 1197 bytes , Dumped symbolic output PICKLE of 6 bytes 및 Duration: 0.0453675349553 minutes 표시되며, 이는 SLIC의 실행이 완료되었음을 나타냅니다.

Mozilla 리포지토리의 결과를 얻으려면 완료하는 데 251 분이 걸립니다. 6-8 단계를 따르십시오 :

6. python main.py -m 실행하십시오. 이 명령은 Mozilla 저장소에서 수집 된 스크립트의 SLIC를 실행합니다. 분석이 완료되면 Dumped CSV output file of XXX bytes , Dumped symbolic output PICKLE of XXX bytes 하고 Ended at:XXX 표시되며 SLIC의 실행이 완료되었으며 RQ2 및 RQ3에 응답하는 데 사용되는 결과 파일이 생성되었음을 나타냅니다.
7. cd /SecurityInIaC/IacSec/analysis/
8. python frq_cnt.py -m 실행하십시오. 실행시 RQ2의 결과가 얻어 질 것입니다. 획득 된 결과를 논문의 표 VIII에 제시된 결과와 비교하십시오. 2018-06 개월에 해당하는 결과는 논문에 제시된 결과에 해당합니다.

OpenStack 리포지토리의 결과를 얻으려면 완료하는 데 725 분이 걸립니다. 6-8 단계를 따르십시오 :

6. python main.py -o 실행하십시오. 이 명령은 OpenStack 저장소에서 수집 된 스크립트의 SLIC를 실행합니다. 분석이 완료되면 Dumped CSV output file of XXX bytes , Dumped symbolic output PICKLE of XXX bytes 하고 Ended at:XXX 표시되며 SLIC의 실행이 완료되었으며 RQ2 및 RQ3에 응답하는 데 사용되는 결과 파일이 생성되었음을 나타냅니다.
7. cd /SecurityInIaC/IacSec/analysis/
8. python frq_cnt.py -o 실행하십시오. 실행시 RQ2의 결과가 얻어 질 것입니다. 획득 된 결과를 논문의 표 VIII에 제시된 결과와 비교하십시오. 2018-06 개월에 해당하는 결과는 논문에 제시된 결과에 해당합니다.

Wikimedia 리포지토리의 결과를 얻으려면 완료하는 데 286 분이 걸립니다. 6-8 단계를 따르십시오 :

6. python main.py -w 실행하십시오. 이 명령은 Wikimedia 저장소에서 수집 한 스크립트의 SLIC를 실행합니다. 분석이 완료되면 Dumped CSV output file of XXX bytes , Dumped symbolic output PICKLE of XXX bytes 하고 Ended at:XXX 표시되며 SLIC의 실행이 완료되었으며 RQ2 및 RQ3에 응답하는 데 사용되는 결과 파일이 생성되었음을 나타냅니다.
7. cd /SecurityInIaC/IacSec/analysis/
8. python frq_cnt.py -w 실행하십시오. 실행시 RQ2의 결과가 얻어 질 것입니다. 획득 된 결과를 논문의 표 VIII에 제시된 결과와 비교하십시오. 2018-06 개월에 해당하는 결과는 논문에 제시된 결과에 해당합니다.

GitHub 리포지토리의 결과를 얻으려면 완료하는 데 1431.9 분이 걸립니다. 6-8 단계를 따르십시오 :

6. python main.py -g 실행하십시오. 이 명령은 GitHub 리포지토리에서 수집 된 스크립트의 SLIC를 실행합니다. 분석이 완료되면 Dumped CSV output file of XXX bytes , Dumped symbolic output PICKLE of XXX bytes 하고 Ended at:XXX 표시되며 SLIC의 실행이 완료되었으며 RQ2 및 RQ3에 응답하는 데 사용되는 결과 파일이 생성되었음을 나타냅니다.
7. cd /SecurityInIaC/IacSec/analysis/
8. python frq_cnt.py -g 실행하십시오. 실행시 RQ2의 결과가 얻어 질 것입니다. 획득 된 결과를 논문의 표 VIII에 제시된 결과와 비교하십시오. 2018-06 개월에 해당하는 결과는 논문에 제시된 결과에 해당합니다.

추상적인:

제목 : The Seven Sins : 보안은 코드 스크립트로 인프라의 냄새

실무자는 인프라를 코드 (IAC) 스크립트로 사용하여 서버 및 개발 환경을 제공합니다. IAC 스크립트를 개발하는 동안 실무자는 실수로 보안 냄새를 도입 할 수 있습니다. 보안 냄새는 보안 약점을 나타내고 잠재적으로 보안 위반으로 이어질 수있는 반복 코딩 패턴입니다. Research Artifact를 공유하는 목표는 소프트웨어 실무자와 연구원이 SLIC (Infrastructure)로 정적 분석 도구 보안 라이너를 사용하여 인프라의 보안 냄새를 코드 스크립트로 식별하도록 돕는 것입니다. 우리는 사용 가능한 배지를 신청하고 있습니다. 우리는 논문에 제시된 주요 결과를 사용하고 복제하기 위해 Docker 기반 연구 인공물을 제공합니다. 아티팩트는 SLIC의 소스 코드를 포함하는 Docker 이미지입니다. Docker 이미지에는 SLIC을 실행하고 경험적 분석을 수행하는 꼭두각시 스크립트가있는 디렉토리도 포함되어 있습니다. 도구를 실행하려면 Docker를 설치해야합니다. Docker의 기본 기술은 'Docker Pull'및 'Docker Run'과 같은 충분합니다. 설치에 대한 자세한 지침과 readme.md 및 install.md에서 도구를 실행하는 방법을 제공했습니다. 도구의 doi : https://doi.org/10.6084/m9.figshare.6943316