JP7322963B2 - 評価装置、評価方法及びプログラム - Google Patents
評価装置、評価方法及びプログラム Download PDFInfo
- Publication number
- JP7322963B2 JP7322963B2 JP2021553261A JP2021553261A JP7322963B2 JP 7322963 B2 JP7322963 B2 JP 7322963B2 JP 2021553261 A JP2021553261 A JP 2021553261A JP 2021553261 A JP2021553261 A JP 2021553261A JP 7322963 B2 JP7322963 B2 JP 7322963B2
- Authority
- JP
- Japan
- Prior art keywords
- library
- risk
- evaluation
- value
- source code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/70—Software maintenance or management
- G06F8/77—Software metrics
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Description
第1の実施形態について、図面を用いてより詳細に説明する。
<参考情報1>
URL;https://developer.github.com/
<参考情報2>
URL;https://www.techmatrix.co.jp/product/understand/function/metrics.html
続いて、第2の実施形態について図面を参照して詳細に説明する。
なお、上記実施形態にて説明した評価装置10の構成、動作等は例示であって、当該装置の構成等を限定する趣旨ではない。例えば、上記説明した評価装置10の機能が異なる装置により実現されてもよい。具体的には、ライブラリ情報生成部202とリスク情報出力部203の機能が異なる装置に実装されていてもよい。
[付記1]
ソースコードに記載された、第1のライブラリのリスクに関する評価値を生成する、生成部(101、212)と、
少なくとも前記生成された評価値に基づき、前記第1のライブラリの危険度を算出し、前記算出された危険度に基づき前記ソースコードに内在するリスクを示すリスク値を算出すると共に、前記算出されたリスク値の時系列データを出力する、出力部(102、203)と、
を備える、評価装置(10、100)。
[付記2]
前記生成部(101、212)は、前記ソースコードに前記第1のライブラリから呼び出される第2のライブラリが含まれる場合には、前記第2のライブラリのリスクに関する評価値を生成し、
前記出力部(102、203)は、前記第1のライブラリの危険度に前記第2のライブラリの評価値を反映する、付記1に記載の評価装置(10、100)。
[付記3]
前記第1のライブラリが前記ソースコードの全体に与える影響を示す影響度を算出する、算出部(213)をさらに備え、
前記出力部(102、203)は、前記算出された影響度を前記第1のライブラリの危険度に反映する、付記2に記載の評価装置(10、100)。
[付記4]
前記生成部(101、212)は、前記第1のライブラリを互いに性質の異なる情報に基づき評価し、前記異なる情報ごとに評価値を生成する、付記3に記載の評価装置(10、100)。
[付記5]
前記出力部(102、203)は、前記異なる情報ごとに生成された評価値の合計値を前記第1のライブラリの危険度として算出する、付記4に記載の評価装置(10、100)。
[付記6]
前記出力部(102、203)は、前記第2のライブラリに関して生成された前記異なる情報ごとの評価値のうち値の最も大きい評価値を特定し、前記第1のライブラリに関して生成された評価値の合計値に前記特定された評価値を加算することで、前記第1のライブラリの危険度を算出する、付記5に記載の評価装置(10、100)。
[付記7]
前記出力部(102、203)は、前記評価値の合計値に前記影響度を乗算することで、前記第1のライブラリの危険度を算出する、付記5又は6に記載の評価装置(10、100)。
[付記8]
前記生成部(101、212)は、前記第1のライブラリに関する静的な情報に基づき静的評価値を生成し、前記第1のライブラリに関する動的な情報に基づき動的評価値を生成し、前記第1のライブラリのソースコードに基づき実体評価値を生成する、付記4乃至7のいずれか一つに記載の評価装置(10、100)。
[付記9]
前記出力部(102、203)は、前記ソースコードに含まれるライブラリについて算出された危険度の合計値を前記ソースコード全体のリスク値として算出し、前記算出されたソースコード全体のリスク値の時系列データを表示する、付記1乃至7のいずれか一つに記載の評価装置(10、100)。
[付記10]
前記出力部(102、203)は、前記第1のライブラリの危険度の時系列データを表示する、付記9に記載の評価装置(10、100)。
[付記11]
前記出力部(102、203)は、リスク値の時系列データを表示する項目を切り替えるためのGUI(Graphical User Interface)を生成する、付記10に記載の評価装置(10、100)。
[付記12]
前記算出されたリスク値が所定の条件を満たす場合に、前記ソースコードにリスクが含まれる旨を外部に通知する、通知部をさらに備える、付記1乃至11のいずれか一つに記載の評価装置(10、100)。
[付記13]
評価装置(10、100)において、
ソースコードに記載された、第1のライブラリのリスクに関する評価値を生成するステップと、
少なくとも前記生成された評価値に基づき、前記第1のライブラリの危険度を算出し、前記算出された危険度に基づき前記ソースコードに内在するリスクを示すリスク値を算出すると共に、前記算出されたリスク値の時系列データを出力するステップと、
を含む評価方法。
[付記14]
評価装置(10、100)に搭載されたコンピュータ(311)に、
ソースコードに記載された、第1のライブラリのリスクに関する評価値を生成する処理と、
少なくとも前記生成された評価値に基づき、前記第1のライブラリの危険度を算出し、前記算出された危険度に基づき前記ソースコードに内在するリスクを示すリスク値を算出すると共に、前記算出されたリスク値の時系列データを出力する処理と、
を実行させるプログラム。
なお、付記13の形態及び付記14の形態は、付記1の形態と同様に、付記2の形態~付記12の形態に展開することが可能である。
101 生成部
102 出力部
201 ソースコード取得部
202 ライブラリ情報生成部
203 リスク情報出力部
204 記憶部
205 リスク通知部
211 ライブラリ抽出部
212 リスク評価値生成部
213 ライブラリ影響度算出部
311 プロセッサ
312 メモリ
313 入出力インターフェイス
314 通信インターフェイス
Claims (9)
- ソースコードに記載された第1のライブラリについての互いに性質が異なる情報に基づいて、前記第1のライブラリのリスクに関する評価値を生成する、生成手段と、
前記第1のライブラリが前記ソースコードの全体に与える影響を示す影響度を算出する、算出手段と、
前記異なる情報ごとに生成された評価値の合計値と前記算出された影響度とに基づき、前記第1のライブラリの危険度を算出し、前記算出された危険度に基づき前記ソースコードに内在するリスクを示すリスク値を算出すると共に、前記算出されたリスク値の時系列データを出力する、出力手段と、
を備え、
前記生成手段は、前記ソースコードに前記第1のライブラリから呼び出される第2のライブラリが含まれる場合には、前記第2のライブラリについての互いに性質が異なる情報に基づいて、前記第2のライブラリのリスクに関する評価値を生成し、
前記出力手段は、前記第2のライブラリに関して生成された前記異なる情報ごとの評価値のうち値の最も大きい評価値を特定し、前記第1のライブラリに関して生成された評価値の合計値に前記特定された評価値を加算することで、前記第1のライブラリの危険度を算出する、評価装置。 - 前記出力手段は、前記評価値の合計値に前記影響度を乗算することで、前記第1のライブラリの危険度を算出する、請求項1に記載の評価装置。
- 前記生成手段は、前記第1のライブラリに関する静的な情報に基づき静的評価値を生成し、前記第1のライブラリに関する動的な情報に基づき動的評価値を生成し、前記第1のライブラリのソースコードに基づき実体評価値を生成する、請求項1または2に記載の評価装置。
- 前記出力手段は、前記ソースコードに含まれるライブラリについて算出された危険度の合計値を前記ソースコード全体のリスク値として算出し、前記算出されたソースコード全体のリスク値の時系列データを表示する、請求項1乃至3のいずれか一項に記載の評価装置。
- 前記出力手段は、前記第1のライブラリの危険度の時系列データを表示する、請求項4に記載の評価装置。
- 前記出力手段は、リスク値の時系列データを表示する項目を切り替えるためのGUI(Graphical User Interface)を生成する、請求項5に記載の評価装置。
- 前記算出されたリスク値が所定の条件を満たす場合に、前記ソースコードにリスクが含まれる旨を外部に通知する、通知手段をさらに備える、請求項1乃至6のいずれか一項に記載の評価装置。
- 評価装置において、
ソースコードに記載された第1のライブラリについての互いに性質が異なる情報に基づいて、前記第1のライブラリのリスクに関する評価値を生成するステップと、
前記第1のライブラリが前記ソースコードの全体に与える影響を示す影響度を算出するステップと、
前記異なる情報ごとに生成された評価値の合計値と前記算出された影響度とに基づき、前記第1のライブラリの危険度を算出し、前記算出された危険度に基づき前記ソースコードに内在するリスクを示すリスク値を算出すると共に、前記算出されたリスク値の時系列データを出力するステップと、
を含み、
前記生成するステップでは、前記ソースコードに前記第1のライブラリから呼び出される第2のライブラリが含まれる場合には、前記第2のライブラリについての互いに性質が異なる情報に基づいて、前記第2のライブラリのリスクに関する評価値を生成し、
前記出力するステップでは、前記第2のライブラリに関して生成された前記異なる情報ごとの評価値のうち値の最も大きい評価値を特定し、前記第1のライブラリに関して生成された評価値の合計値に前記特定された評価値を加算することで、前記第1のライブラリの危険度を算出する、評価方法。 - 評価装置に搭載されたコンピュータに、
ソースコードに記載された第1のライブラリのリスクについての互いに性質が異なる情報に基づいて、前記第1のライブラリに関する評価値を生成する処理と、
前記第1のライブラリが前記ソースコードの全体に与える影響を示す影響度を算出する処理と、
前記異なる情報ごとに生成された評価値の合計値と前記算出された影響度とに基づき、前記第1のライブラリの危険度を算出し、前記算出された危険度に基づき前記ソースコードに内在するリスクを示すリスク値を算出すると共に、前記算出されたリスク値の時系列データを出力する処理と、
を実行させ、
前記生成する処理では、前記ソースコードに前記第1のライブラリから呼び出される第2のライブラリが含まれる場合には、前記第2のライブラリについての互いに性質が異なる情報に基づいて、前記第2のライブラリのリスクに関する評価値を生成し、
前記出力する処理では、前記第2のライブラリに関して生成された前記異なる情報ごとの評価値のうち値の最も大きい評価値を特定し、前記第1のライブラリに関して生成された評価値の合計値に前記特定された評価値を加算することで、前記第1のライブラリの危険度を算出する、プログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2019/041929 WO2021079496A1 (ja) | 2019-10-25 | 2019-10-25 | 評価装置、評価方法及びプログラム |
Publications (3)
Publication Number | Publication Date |
---|---|
JPWO2021079496A1 JPWO2021079496A1 (ja) | 2021-04-29 |
JPWO2021079496A5 JPWO2021079496A5 (ja) | 2022-06-24 |
JP7322963B2 true JP7322963B2 (ja) | 2023-08-08 |
Family
ID=75619722
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021553261A Active JP7322963B2 (ja) | 2019-10-25 | 2019-10-25 | 評価装置、評価方法及びプログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US20220391516A1 (ja) |
JP (1) | JP7322963B2 (ja) |
WO (1) | WO2021079496A1 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022269656A1 (ja) * | 2021-06-21 | 2022-12-29 | 三菱電機株式会社 | 機械学習装置、深刻度予知装置、および機械学習方法 |
WO2023139822A1 (ja) * | 2022-01-18 | 2023-07-27 | 三菱電機株式会社 | アーキテクチャ寿命推定装置及びアーキテクチャ寿命推定方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001184441A (ja) | 1999-12-27 | 2001-07-06 | Nec Corp | 診療録装置 |
JP2010191922A (ja) | 2009-02-20 | 2010-09-02 | Mitsubishi Electric Corp | 履歴追跡結果出力装置及び履歴追跡結果出力プログラム及び記録媒体 |
US20150007330A1 (en) | 2013-06-26 | 2015-01-01 | Sap Ag | Scoring security risks of web browser extensions |
US20150268948A1 (en) | 2014-03-18 | 2015-09-24 | Henrik Plate | Software dependency management through declarative constraints |
US20180349614A1 (en) | 2017-05-31 | 2018-12-06 | ShiftLeft Inc | System and method for application security profiling |
US20190227902A1 (en) | 2018-01-21 | 2019-07-25 | Microsoft Technology Licensing, Llc. | Time-weighted risky code prediction |
-
2019
- 2019-10-25 WO PCT/JP2019/041929 patent/WO2021079496A1/ja active Application Filing
- 2019-10-25 US US17/767,138 patent/US20220391516A1/en active Pending
- 2019-10-25 JP JP2021553261A patent/JP7322963B2/ja active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001184441A (ja) | 1999-12-27 | 2001-07-06 | Nec Corp | 診療録装置 |
JP2010191922A (ja) | 2009-02-20 | 2010-09-02 | Mitsubishi Electric Corp | 履歴追跡結果出力装置及び履歴追跡結果出力プログラム及び記録媒体 |
US20150007330A1 (en) | 2013-06-26 | 2015-01-01 | Sap Ag | Scoring security risks of web browser extensions |
US20150268948A1 (en) | 2014-03-18 | 2015-09-24 | Henrik Plate | Software dependency management through declarative constraints |
US20180349614A1 (en) | 2017-05-31 | 2018-12-06 | ShiftLeft Inc | System and method for application security profiling |
US20190227902A1 (en) | 2018-01-21 | 2019-07-25 | Microsoft Technology Licensing, Llc. | Time-weighted risky code prediction |
Non-Patent Citations (1)
Title |
---|
OSSリスク管理ツール Checkmarx CxOSA,Prometech Simulation Conference 2018,2018年12月13日,pp.1-2 |
Also Published As
Publication number | Publication date |
---|---|
JPWO2021079496A1 (ja) | 2021-04-29 |
US20220391516A1 (en) | 2022-12-08 |
WO2021079496A1 (ja) | 2021-04-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Yan et al. | The current status of accessibility in mobile apps | |
Wong et al. | A survey on software fault localization | |
Neuhaus et al. | Predicting vulnerable software components | |
Nadi et al. | Mining configuration constraints: Static analyses and empirical results | |
Ross et al. | Epidemiology as a framework for large-scale mobile application accessibility assessment | |
Cohen et al. | Constructing interaction test suites for highly-configurable systems in the presence of constraints: A greedy approach | |
Von Rhein et al. | Presence-condition simplification in highly configurable systems | |
US9594665B2 (en) | Regression evaluation using behavior models of software applications | |
Shang et al. | Automated detection of performance regressions using regression models on clustered performance counters | |
US9329980B2 (en) | Security alerting using n-gram analysis of program execution data | |
Rahman et al. | Gang of eight: A defect taxonomy for infrastructure as code scripts | |
Bacchelli et al. | Are popular classes more defect prone? | |
Smidts et al. | Software testing with an operational profile: OP definition | |
CN111507086B (zh) | 本地化应用程序中翻译文本位置的自动发现 | |
Qin et al. | Testmig: Migrating gui test cases from ios to android | |
Avgustinov et al. | Tracking static analysis violations over time to capture developer characteristics | |
JP7322963B2 (ja) | 評価装置、評価方法及びプログラム | |
Andrés et al. | Formal passive testing of timed systems: Theory and tools | |
US11853746B2 (en) | Source code merge conflict resolution | |
Aalst | Big software on the run: in vivo software analytics based on process mining (keynote) | |
Syer et al. | Replicating and re-evaluating the theory of relative defect-proneness | |
CN109344017A (zh) | 一种基于机器学习预测内存故障的方法,设备及可读存储介质 | |
Raja | All complaints are not created equal: text analysis of open source software defect reports | |
Henderson et al. | Sampling code clones from program dependence graphs with GRAPLE | |
Dou et al. | Model-driven trace diagnostics for pattern-based temporal specifications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220418 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220418 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230509 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230622 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230627 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230710 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7322963 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |