On the Security of Research Artifacts

연구 아티팩트는 재현성을 지원하기 위해 널리 공유되며, 아티팩트 평가 (AE) 는 많은 주요 컨퍼런스에서 일반화되고 있습니다. 그러나 AE 는 주로 주장된 대로 작동하고 재현 가능한지 여부를 확인하는 데 중점을 두며, 잠재적인 보안 위험은 대부분 간과됩니다. 이러한 아티팩트가 공개적으로 배포되고 재사용되므로, 의도치 않게 오용의 기회를 창출할 수 있으며 안전하고 책임 있는 공유에 대한 우려를 제기할 수 있습니다. 우리는 최상위 보안 venue 에서 509 개의 연구 아티팩트를 분석하여 많은 것이 잠재적인 공격 벡터를 도입할 수 있는 불안전한 코드 패턴을 포함하고 있음을 발견했습니다. 우리는 이러한 위험의 구조적 분석을 가능하게 하기 위해 컨텍스트에 민감한 보안 평가 (context-aware security assessment) 를 위한 분류 체계를 제안합니다. 우리는 정적 분석을 수행하고 결과물을 검토하여 위양성을 필터링하고 실제 보안 위험을 식별했습니다. 우리의 분석은 41.60% 의 주요 발견이 실제 사용 시 보안 우려를 야기할 수 있음을 보여줍니다. 확장 가능한 분석을 지원하기 위해, 코드 의미론 (code semantics), 실행 컨텍스트, 실제 공격 가능성 (practical exploitability) 을 고려하여 도구 보고된 발견을 분석하는 자율적 프레임워크의 첫 단계인 SAFE (Security-Aware Framework for Artifact Evaluation) 를 소개합니다. SAFE 는 보안 위험과 비보안 위험을 구별하는 데 84.80% 의 정확도와 84.63% 의 F1 점수를 달성했습니다. 종합적으로, 우리의 결과는 AE 에서 안전한 및 책임 있는 연구 공유를 촉진하기 위해 보안도 중요함을 보여줍니다. 소스 코드는 다음 URL 에 있습니다: https://github.com/nanda-rani/SAFE