Detecting False Negatives in Static Analysis Tools Using Test Code Mutants

테스트코드 뮤턴트를 이용하여 정적분석 도구 미검출 찾기

Modern Software is often exposed to security accidents primarily due to malicious hackings taking advantage of defects and vulnerabilities residing in source code. Recent technological advance and commercial success of static-analysis tools have made it possible for software developers to use the tools and detect safety defects and security vulnerabilities before release. Despite the advantages of static code analysis, the developers tend to avoid using it because of the immoderate false negatives and positives. In this paper, we propose an effective method of automatically generating test codes for static-analysis tools based on mutation testing techniques. In fact, several false-negatives of commercially released a static analysis tool were found by this method.

현대 소프트웨어는 종종 소스코드에 존재하는 오류나 보안약점을 이용한 공격으로 인해 보안사고에 노출된다. 최근 정적분석 도구가 갖게 된 기술의 진보와 상업적인 성공이 개발자들로 하여금 정적분석 도구를 사용하여 오류나 보안취약점을 배포 전에 검출할 수 있게 되었다. 정적분석의 여러 가지 이점에도, 정적분석 결과에 존재하는 오검출과 미검출로 인해 개발자들이 정적분석도구의 사용을 꺼리는 경향이 있다. 본 논문에서는, 뮤테이션 테스팅 기법에 기반하여 정적분석도구 테스트코드를 자동으로 생성하는 효율적인 방법을 제안한다. 실제로 상용 출시된 정적분석 도구의 일부 미탐을 이 방법으로 발견하였다.