Proj CDeepFuzz Paper Reading: Supply-Chain Vulnerability Elimination via Active Learning and Regeneration

Abstract

背景:

  1. 软件供应链攻击的目标是集成到客户端应用程序中的组件。
  2. 此类攻击通常针对广泛使用的组件,通过不影响客户端观察到的组件行为(例如文件系统或网络访问)进行攻击。

本文:HARP
Task: infer and regenerate the client-observable behavior of software components
Method: active library learning and regeneration(ALR)

  1. 多轮探索
  2. 生成输入后观察输出,infer a model of behavior
  3. 用a domain-specific language来表示model of behavior

实验:

  1. 成功infer and regenerate string-processing components in JS and C/C++,与原始库完全兼容,性能没有区别
  2. 可以消除几个库漏洞,例如event-stream, left-pad和string-compare
posted @ 2023-08-29 15:46  雪溯  阅读(11)  评论(0编辑  收藏  举报