An approach for identifiying false positive warnings in SAST tooling

Abstract

In dieser Arbeit präsentieren wir einen Ansatz um die Anzahl von falsch positiven Ergebnissen in statischer Analyse von Kryptographischen Bibliotheken zu reduzieren. Um das zu erreichen benutzen wir einen existierenden pfad-sensitiven Algorithmus zum Eliminieren von RCE Schwächen und adaptieren ihn um eine Gruppe von Schwächen zu erkennen die in kryptographischen Bibliotheken gefunden werden kann. Wir implementieren einen Prototypen unseres Ansatzes in Java unter Zuhilfenahme der Soot API zur Herstellung von Kontrollfluss- und Aurufgraphen. Der Prototyp wird anschließend unter zwei Gesichtspunkten evaluiert: Genauigkeit und Performanz. Wir benutzen ein kryptographisches Benchmark um die Genauigkeit zu evaluieren und eine Menge aus zufällig gewählten, ausführbaren Java Programmen um die Performanz zu evaluieren. Wir fassen unsere Ergebnisse in einem Schlusskapitel zusammen.

In this paper, we present an approach to reduce the number of false positive results in static analysis of cryptographic libraries. To achieve this, we use an existing path-sensitive algorithm to eliminate RCE vulnerabilities and adapt it to recognize a group of vulnerabilities found in cryptographic libraries. We implement a prototype of our approach in Java using the Soot API for control flow graph and call graph generation. The prototype is then evaluated from two perspectives: accuracy and performance. We use a cryptographic benchmark to evaluate accuracy and a set of randomly chosen executable Java programs to evaluate performance. We summarize our results in a concluding chapter.