微服务的自动规则检查:通过可解释性支持安全分析
《ACM Transactions on Software Engineering and Methodology》:Automatic Rule Checking for Microservices: Supporting Security Analysis with Explainability
【字体:
大
中
小
】
时间:2025年11月08日
来源:ACM Transactions on Software Engineering and Methodology
编辑推荐:
针对微服务应用架构安全分析的自动化与可解释性难题,提出基于模型查询语言和可追溯证据链的解决方案,原型工具MicroCertiSec验证了25条最佳实践规则的100%准确率,并获专家高度认可。
摘要
软件安全分析通常需要手动完成,这会导致性能和准确性方面的问题。引入自动化是一个挑战,因为往往需要对分析结果进行人工验证,尤其是在安全评估和认证过程中。微服务应用程序的分布式特性进一步加剧了这些问题。
我们提出了一种自动检查微服务应用程序模型中架构安全规则的方法。该方法能够为以模型查询形式表达的规则提供可解释性。这种易于理解的、逐步进行的验证过程利用了输入模型中的可追溯性信息,将结果与代码中的实际组件关联起来。因此,可以从源代码到模型,再到规则结果的整个分析过程都可以被追踪和验证。除了预定义的25条最佳实践架构安全规则外,用户还可以自定义规则。
我们通过使用一个原型(称为MicroCertiSec)对16个微服务应用程序的数据流图中的25条规则进行了验证,并观察到了令人满意的结果(精确度=0.98;召回率=1)。此外,我们还与行业专家和学者进行了评估,以初步了解该方法在实际安全分析中的实用性。九位参与者对该方法的实用性和易用性给予了高度评价,并表示会在日常工作中使用这种方法。
生物通微信公众号
生物通新浪微博
今日动态 |
人才市场 |
新技术专栏 |
中国科学人 |
云展台 |
BioHot |
云讲堂直播 |
会展中心 |
特价专栏 |
技术快讯 |
免费试用
版权所有 生物通
Copyright© eBiotrade.com, All Rights Reserved
联系信箱:
粤ICP备09063491号
