Développement d'un outil pour l'étude de l'apparition de failles de sécurité dans du code Java

Description

La détection et la correction des failles de sécurité dans les logiciels sont cruciales pour l’industrie. Nous voulons mieux comprendre comment ces failles apparaissent dans le code. Pour cela, nous voulons analyser l’historique (Git) des logiciels à partir de l’introduction des patchs de sécurité, pour remontrer dans le temps et retracer l’histoire de l’apparition de ces failles dans des programmes Java. Par exemple, étudier comment est apparue la fameuse faille dans Log4J. Nous voulons automatiser ce processus autant que possible. Le but de ce stage est de contribuer à notre outil HyperAST qui permet déjà de capturer tout l’historique d’un logiciel pour réaliser des analyses temporelles. L’idée est d'étendre l’HyperAST pour gérer ce cas précis des failles de sécurité en Java. Le stage implique également d’utiliser le travail réaliser sur des logiciels et des failles connus.

Technologies : Rust, Java

Postuler

Contacter Arnaud Blouin et Djamel Eddine Khelladi dés que possible. L'étude des dossiers se fait au fil de l’eau jusqu'à sélection du candidat ou de la candidate adéquate.

References

[1] HyperAST: Enabling Efficient Analysis of Software Histories at Scale. Quentin Le Dilavrec, Djamel Eddine Khelladi, Arnaud Blouin, Jean-Marc Jézéquel. ASE 2022 - 37th IEEE/ACM International Conference on Automated Software Engineering, Oct 2022, Oakland, United States. pp.1-12 https://hal.inria.fr/hal-03764541/file/Hyper_AST___ASE_2022_revision.pdf