패치 분석을 통한 구성별 보안 취약점의 자동 탐지

우리는 고도로 구성 가능한 (highly configurable) C/C++ 시스템의 보안 패치가 컴파일 타임 변형 (compile-time variants) 공간에 어떻게 매핑되는지 연구합니다. 우리는 원래의 결함을 포함하고 있는 모든 변형을 나타내는 구성 옵션에 대한 불리언 술어 (Boolean predicate)인 취약점 영향 조건 (Vulnerability Impact Condition, VIC)을 공식화하고, AST 레벨의 패치 덩어리 (patch hunks)를 소스 레벨의 존재 조건 (presence conditions)과 정렬하고 경량 빌드 시스템 분석을 통해 파일 포함 (file inclusion)을 해결함으로써 VIC를 복구하는 순수 정적 기술인 PatchLens를 소개합니다. 1,192개의 Linux 커널, 289개의 FFmpeg, 그리고 100개의 PHP 패치에 대해 PatchLens를 평가한 결과, 우리는 어떠한 시스템 변형도 컴파일할 필요 없이 정확하고 사람이 읽을 수 있는 VIC를 계산합니다. 결과적으로 도출된 술어들은 간결하며 (Linux의 경우 평균 1.84개 변수, FFmpeg은 3.23개, PHP는 1.04개), 취약점 중 오직 아주 작은 부분만이 더 높은 CVSS 점수를 갖는 시스템 전체 (system-wide) 취약점임을 보여줍니다. 반면, CVE 텍스트는 필요한 옵션을 거의 인코딩하지 않으며 ($\approx$ 1%의 평균 재현율), 이는 VIC를 통해 CVE 설명을 자동으로 풍부하게 만드는 (enrichment) 동기를 부여합니다. PatchLens와 이에 수반되는 데이터셋은 CI (변형 인식 분류 및 테스트 선택), 표적 샘플링 및 퍼징 (fuzzing), 기능 위험 점수 산정 (feature risk scoring)에서의 즉각적인 적용을 가능하게 하며, 고도로 구성 가능한 소프트웨어의 취약점 평가를 위한 확장 가능하고 설명 가능한 경로를 제공합니다.