Cette thèse explore la possibilité d'appliquer du "genetic improvement" dans le but d'injecter des vulnérabilités dans des programmes. Générer des programmes vulnérables de la sorte permettrait d'automatiquement créer des sets de données, cruciaux dans l'entraînement de modèles de machine-learning dédiés à la détection des vulnérabilités. Cela permettrait d'améliorer grandement la sécurité logicielle des programmes en offrant aux programmeurs des outils mieux entraînés à détecter et à signaler les vulnérabilités.
Cette idée a été mise en pratique grâce à l'implémentation de VulGr, une modification d'un framework dédiée au genetic improvement nommé PyGGi. VulGr lui-même fait usage de CodeQL, un analyseur de code statique possédant une approche innovante dans la détection statique de vulnérabilités dans le but d'injecter des vulnérabilités dans des programmes du set de données Vul4J.
L'expérience s'est révélée infructueuse, CodeQL n'étant pas suffisamment précis et étant trop chronophage que pour produire des résultats concrets dans un laps de temps acceptable (moins de 72 heures). Cependant, l'approche présente un intérêt pour de futures applications, CodeQL étant un effort communautaire continu promettant de futures mises-à-jour ayant le potentiel de résoudre les problèmes mentionnés.
la date de réponse | 22 juin 2023 |
---|
langue originale | Anglais |
---|
L'institution diplômante | |
---|
Superviseur | Gilles Perrouin (Promoteur) & Xavier Devroey (Copromoteur) |
---|
Automatic Vulnerability Injection using Genetic Improvement and Static Code Analysers
BENIMEDOURENE, C. (Auteur). 22 juin 2023
Student thesis: Master types › Master en sciences informatiques à finalité spécialisée en Software engineering