公开(公告)号：WO2012048336A2

公开(公告)日：2012-04-12

申请号：PCT/US2011055718

申请日：2011-10-11

Applicant: IBM ,  CENTONZE PAOLINA ,  MALKIN PETER K ,  PISTOIA MARCO

Inventor： CENTONZE PAOLINA ,  MALKIN PETER K ,  PISTOIA MARCO

IPC: G06F9/44 ,  G06F9/45

CPC classification number: G06F8/443 ,  G06F8/24

Abstract: A method includes, using a static analysis performed on code, analyzing the code to determine a set of unchanged objects and modifying the code to exercise a singleton-pattern technique for one or more members of the set of unchanged objects. The method also includes outputting the modified code. Apparatus and program products are also disclosed. Another method includes accessing code from a client, and in response to any of the code being source code, compiling the source code into object code until all the code from the client comprises object code. The method further includes, using a static analysis performed on the object code, analyzing the object code to determine a set of unchanged objects and modifying the object code to exercise a singleton-pattern technique for one or more members of the set of unchanged objects. The method additionally includes returning the modified object code to the client.

Abstract translation: 一种方法包括：使用对代码执行的静态分析，分析代码以确定一组不变的对象，并修改代码以对该组不变对象的一个​​或多个成员执行单例模式技术。 该方法还包括输出修改的代码。 还公开了装置和程序产品。 另一种方法包括从客户端访问代码，并且响应任何代码是源代码，将源代码编译成目标代码，直到来自客户端的所有代码包括目标代码。 该方法还包括：使用对目标代码执行的静态分析，分析目标代码以确定一组未改变的对象并修改目标代码以对该组不变对象的一个​​或多个成员执行单例模式技术。 该方法还包括将修改的对象代码返回给客户机。

公开(公告)号：WO2007130356A3

公开(公告)日：2008-09-25

申请号：PCT/US2007010461

申请日：2007-04-30

Applicant: IBM ,  CENTONZE PAOLINA ,  GOMES JOSE ,  PISTOIA MARCO

Inventor： CENTONZE PAOLINA ,  GOMES JOSE ,  PISTOIA MARCO

IPC: H04L9/32 ,  G06F17/30 ,  H03M1/68 ,  H04N7/16

CPC classification number: G06F21/6227 ,  G06F2221/2141 ,  G06F2221/2149

Abstract: A system, method and computer program product for identifying security authorizations and privileged-code requirements; for validating analyses performed using static analyses; for automatically evaluating existing security policies; for detecting problems in code; in a run¬ time execution environment in which a software program is executing. The method comprises: implementing reflection objects for identifying program points in the executing program where authorization failures have occurred in response to the program's attempted access of resources requiring authorization; displaying instances of identified program points via a user interface, the identified instances being user selectable; for a selected program point, determining authorization and privileged-code requirements for the access restricted resources in real-time; and, enabling a user to select, via the user interface, whether a required authorization should be granted, wherein local system, fine-grained access of resources requiring authorizations is provided.

Abstract translation: 用于识别安全授权和特权代码要求的系统，方法和计算机程序产品; 用于验证使用静态分析进行的分析; 用于自动评估现有安全策略; 用于检测代码中的问题; 在执行软件程序的运行时执行环境中。 该方法包括：响应于程序尝试访问需要授权的资源，实施用于识别执行程序中的程序点的反射对象，其中发生授权失败; 经由用户界面显示所识别的节目点的实例，所识别的实例是用户可选择的; 对于选定的程序点，实时地确定访问受限资源的授权和特权代码要求; 并且使得用户能够经由用户界面来选择是否应当授予所需的授权，其中本地系统提供需要授权的资源的细粒度访问。

公开(公告)号：DE112011103406T5

公开(公告)日：2013-08-22

申请号：DE112011103406

申请日：2011-10-11

Applicant: IBM

Inventor： CENTONZE PAOLINA ,  PISTOIA MARCO ,  MALKIN PETER K

IPC: G06F9/44 ,  G06F9/45

Abstract: Ein Verfahren beinhaltet, unter Verwenden einer statischen Analyse, die an Code ausgeführt wird, Analysieren des Codes zum Ermitteln eines Satzes von nicht geänderten Objekten und Modifizieren des Codes, um eine Singleton-Muster-Technik für ein oder mehrere Mitglieder des Satzes von nicht geänderten Objekten anzuwenden. Das Verfahren enthält auch Ausgeben des modifizierten Codes. Vorrichtungen und Programmprodukte werden ebenfalls offenbart. Ein weiteres Verfahren beinhaltet Zugreifen auf Code von einem Client aus und in Reaktion darauf, dass der gesamte Code Quellcode ist, Kompilieren des Quellcodes in Objektcode, bis der gesamte Code von dem Client Objektcode aufweist. Das Verfahren beinhaltet des Weiteren, unter Verwenden einer statischen Analyse, die an dem Objektcode ausgeführt wird, Analysieren des Objektcodes zum Ermitteln eines Satzes von nicht geänderten Objekten und Modifizieren des Objektcodes, um eine Singleton-Muster-Technik für ein oder mehrere Mitglieder des Satzes von nicht geänderten Objekten anzuwenden. Das Verfahren beinhaltet außerdem Zurückgeben des modifizierten Objektcodes an den Client.

公开(公告)号：DE112010004526T5

公开(公告)日：2012-10-31

申请号：DE112010004526

申请日：2010-09-14

Applicant: IBM

Inventor： CENTONZE PAOLINA ,  HAVIV YINNON AVRAHAM ,  HAY ROEE ,  SHARABANI ADI ,  TRIPP OMER ,  PISTOIA MARCO

IPC: G06F9/00 ,  G06F15/16

Abstract: Richtlinien zur Zugriffskontrolle und Integrität von Informationsflüssen werden in einem Computersystem durchgesetzt, indem sicherheitsrelevante Senken im Software-Code für eine Anwendung ermittelt werden, die auf dem Computersystem ausgeführt wird, und eine Richtlinie zur Zugriffskontrolle aus einer Datenbank abgerufen wird, auf die das Computersystem zugreifen kann. Die Richtlinie zur Zugriffskontrolle bildet einen Satz von Zugriffsberechtigungen in dem Computersystem auf jeden einer Vielzahl von Prinzipalen ab. Für jede ermittelte sicherheitsrelevante Senke werden alle Prinzipale ermittelt, die diese sicherheitsrelevante Senke beeinflussen, und jeder sicherheitsrelevanten Senke wird eine umfassende Zugriffsberechtigung zugeordnet, indem die Schnittmenge der Zugriffsberechtigungssätze für alle Einfluss nehmenden Prinzipale dieser sicherheitsrelevanten Senke gebildet wird. Wenn dieser Berechtigungssatz nicht ausreicht, wird eine Verletzung der Integrität gemeldet. Darüber hinaus werden jedem Wert von Variablen, die in den sicherheitsrelevanten Senken verwendet werden, Berechtigungslabels zugeordnet. Jedes Berechtigungslabel ist ein Berechtigungssatz.

公开(公告)号：GB2487862A

公开(公告)日：2012-08-08

申请号：GB201206958

申请日：2010-09-14

Applicant: IBM

Inventor： CENTONZE PAOLINA ,  HAVIV YINNON AVRAHAM ,  HAY ROEE ,  PISTOIA MARCO ,  SHARABANI ADI ,  TRIPP OMER

IPC: G06F21/00 ,  H04L29/06

Abstract: Access-control and information-flow integrity policies are enforced in a computing system by detecting security-sensitive sinks in software code for an application running on the computing system and retrieving an access-control policy from a database accessible to the computing system. The access-control policy maps a set of access permissions within the computing system to each one of a plurality of principals. For each detected security-sensitive sink, all principals that influence that security-sensitive sink are detected and an overall access permission is assigned to each security-sensitive sink by taking the intersection of the access permission sets for all influencing principals of that security-sensitive sink. If this permission set is inadequate, an integrity violation is reported. In addition, permission labels are assigned to each value of variables used in the security-sensitive sinks. Each permission label is a set of permissions.