지역 타입과 효과로 프로그래밍 가이드라인 강제 적용

초록

본 논문은 Java 프로그램에 보안 가이드라인을 자동으로 적용하기 위한 새로운 타입·효과 시스템을 제안한다. 기존 지역‑기반 시스템을 확장해, 임의의 정책을 유한 모노이드 또는 자동화된 상태머신 형태로 매개변수화하고, 외부 메서드에 대한 모의 코드 혹은 타입 어노테이션을 이용한다. 정밀한 인터프로시듀럴 분석 기반 타입 추론을 구현하여 Soot 프레임워크에 적용하고, SecuriBench 벤치마크에서 높은 정확도를 입증한다.

상세 분석

이 연구는 Beringer·Grabowski·Hofmann이 제시한 지역‑효과 시스템을 출발점으로 삼아, 두 가지 핵심 확장을 수행한다. 첫째, 가이드라인을 유한 모노이드(Mon)와 동형사상