A Lightweight Security Analyzer inside GCC

Il contenuto (Full text) non è disponibile all'interno di questo archivio. Spedisci una richiesta all'autore per una copia del documento
Tipo di pubblicazione: Articolo in atti di convegno
Tipologia MIUR: Contributo in Atti di Convegno (Proceeding) > Contributo in atti di convegno
Titolo: A Lightweight Security Analyzer inside GCC
Autori: Pozza D; Sisto R.
Autori di ateneo:
Intervallo pagine: pp. 851-858
Tipo di referee: Tipo non specificato
Editore: IEEE
ISBN: 9780769531021
Titolo del convegno: ARES 2008 - 3rd Int. Conf. on Availability, Reliability and Security
Luogo dell'evento: Barcelona, Spain
Data dell'evento: Marzo 2008
Rilevanza dell'evento: Internazionale
Abstract: This paper describes the design and implementation of a lightweight static security analyzer that exploits the compilation process of the gcc compiler. The tool is aimed at giving to programmers useful and precise hints for improving the security of the developed software, while also detecting format string vulnerabilities, buffer overflows, and subtle vulnerabilities due to incorrect arithmetic and conversion on integers. The experimented technique is a combination of the taint analysis concept and of a value range propagation algorithm. The experimental results obtained by analyzing some real-world security critical programs show that the tool is only slightly heavier than pure compilation, and that it is able to detect known vulnerabilities, as well as unknown ones. Moreover, even if false positives are given, many of the warnings that do not correspond to vulnerabilities are indeed instances of unsafe programming practices, which can be avoided by applying a defensive programming style. Then, the tool can be profitably used during development, as a means that facilitates such coding practice
Data: 2008
Status: Pubblicato
Lingua della pubblicazione: Inglese
Parole chiave: software security, buffer overflow, static analysis
Dipartimenti (originale): DAUIN - Dipartimento di Automatica Informatica
Dipartimenti: DAUIN - Dipartimento di Automatica e Informatica
URL correlate:
    Area disciplinare: Area 09 - Ingegneria industriale e dell'informazione > SISTEMI DI ELABORAZIONE DELLE INFORMAZIONI
    Data di deposito: 10 Lug 2008 18:46
    Data ultima modifica (IRIS): 07 Set 2016 11:37:34
    Data inserimento (PORTO): 09 Set 2016 04:37
    Numero Identificativo (DOI): 10.1109/ARES.2008.26
    Permalink: http://porto.polito.it/id/eprint/1837589
    Link resolver URL: Link resolver link
    Citazioni:

    Il campo presenta il numero di citazioni presenti sulle banche dati Scopus e Web of Science e permette di accedere ai relativi record. Visualizza inoltre il link al record presente su Google Scholar.

    Possono verificarsi discrepanze rispetto ai dati presenti sulle banche dati per i seguenti motivi:

    • Differenze tra i dati riportati su IRIS e quelli presenti nelle banche dati.
    • Il numero di citazioni riportate su PORTO viene estratto mensilmente. Il dato citazionale presente sulle singole banche dati è aggiornato in tempo reale
    • Il numero di citazioni per WoS viene calcolato sulla base delle collezioni in abbonamento (Science citation index Expanded e Conference Proceedings Citation Index)

    Per informazioni o segnalazioni contattare scrivia/porto

    +
    -

    Azioni (richiesto il login)

    Visualizza il documento (riservato amministratori) Visualizza il documento (riservato amministratori)