Automatic derivation of rules for static security analysis from public source code repositories

Abstract

Unsichere Nutzungen von Crypto-APIs können auch in neuer Software häufig gefunden werden. Um unsichere Nutzungen zu verhindern können Entwickler Static Application Security Testing-Werkzeuge verwenden, die unsichere Nutzungen erkennen und melden können. Diese Static Application Security Testing-Werkzeuge benötigen jedoch eine große Anzahl an manuell erstellten Regeln, die die korrekte Nutzung von den APIs spezifizieren. Diese Arbeit stellt CryptoRuleMiner als neuen Ansatz vor, der nutzbare Crypto API-Regeln erstellen kann. Hierfür nutzt CryptoRuleMiner die durch MuDetect generierten Nutzungsmuster, die es dann in CrySL-Regeln umwandelt, die von CogniCrypt zur Durchführung von statischen Analysen verwendet werden können. Ein von CryptoRuleMiner aus 100 populären GitHub-Projekten erstelltes Regelset wird untersucht und bewertet. Zudem werden die Ergebnisse von statischen Analysen, die generierte Regeln verwenden, mit anderen Detektoren, die ebenfalls Fehlnutzungen ohne manuell erstellte Regeln erkennen, verglichen.

Insecure crypto API usages are commonly found in modern software. To prevent insecure usages, developers can use Static Application Security Testing tools which provide them easy access to insights on whether any given API usage is secure. However, the tools typically rely on manually created rules that encode constraints on how the APIs should be used. In this thesis, CryptoRuleMiner is presented as a novel approach that can generate usable crypto API rules by mining crypto API usages. CryptoRuleMiner uses the output of the MuDetect usage miner and transforms it into CrySL rules that can be used for conducting static analysis with CogniCrypt. A ruleset generated by CryptoRuleMiner using 100 popular GitHub projects is evaluated. Additionally, the performance of the ruleset is compared to other usage mining based misuse detectors.