基于Mozilla的安全性漏洞再修复经验研究.docVIP

基于Mozilla的安全性漏洞再修复经验 研究 张凯孙小兵彭鑫赵文耘 复旦大学软件学院复旦大学上海市数据科学重点实 验室 摘要： 相较于其他类型的漏洞，安全性漏洞更容易发生再修复，这使得安全性漏洞需 要更多的开发资源，从而增加了这些安全性漏洞修复的成木。因此，减少安全性 漏洞再修复的发生的重要性不言而喻。对安全性漏洞再修复的经验研究有助于减 少再修复的发生。首先，通过对Mozilla工程中一些发生再修复的安全性漏洞的 安全性漏洞类型、发生再修复的原因、再修复的次数、修改的提交数、修改的文 件数、修改的代码行数的增减、初始修复和再修复的对比等数据进行分析，发现 了安全性漏洞发牛再修复是普遍存在的，且与漏洞发牛原因的识别的复杂程度 和漏洞修复的复杂程度这两个因素有关;其次，初始修复涉及的文件、代码的集 屮程度是影响再修复的原因Z-,而使用更复杂、更有效的修复过程可有效避免 再修复的发生;最后，总结了几种安全性漏洞发生再修复的原因，使开发人员有 效地识别不同类型的安全性漏洞再修复。 关键词： 安全性漏洞;再修复;漏洞修复;经验研究; 作者简介：张凯（1993-）,男，硕士生，主要研究方向为软件维护； 作者简介：孙小兵（1985-），男，博士，主要研究方向为软件分析、维护与演 化； 作者简介:彭鑫（1979-） 作者简介: 彭鑫 （1979-）,男，博-上，教授，CCF高级会员，主要研究方向为 需求工程、自适应软件、软件产品线、软件维护、逆向工 程;E-mail:pcngxin@fudan. cdu. cn; 作者简介：赵文耘（1964-），男，硕士，教授，CCF高级会员，主要研究方向 为软件复用、软件产品线、软件工程。 收稿日期:2016-10-07 基金：国家自然科学基金 Empirical Study of Reopened Security Bugs on Mozilla ZHANG Kai SUN Xiao-bing PENG Xin ZHAO Wen-yun Abstract： Compared to other types of bugs, securi ty bug reopens more often, moreover, they need more development resources to fix it, which adds an extra cost to fix them. Hence, the empirical study of reopened security bugs is important. Our study collected the reopened security bugs from the Mozilla project, and analyzed them from the times of their reopening and commits, files which were modified to fix them, lines of added and deleted code, and compcirison of the original fixing and reopened fixing. The empiriccil resuIts show that security bug reopening often happen and it rclates to the complexity of recognizing the reason that a security bug happens and fixing bugs. In addition, the locality of the files and code in the original security bug f ixi ng is one of the causes to in flue nee i ts re-fix ing for bug reopens, and using more complex and effective fixing process can help reduce the security bug reopens. Finally, we summarized several causes for security bug reopens to help developers more easily identify the reopens of different types of security bugs. Keyword： Security bug; Reopens; Bug fixing; Empiri