Симпозиум IEEE по безопасности и конфиденциальности
Ежегодная конференция по кибербезопасности

Симпозиум IEEE по безопасности и конфиденциальности
АббревиатураIEEE S&P, IEEE SSP
ДисциплинаКомпьютерная безопасность и конфиденциальность
Подробности публикации
ИздательИИЭЭ
История1980–настоящее время
ЧастотаЕжегодный

Симпозиум IEEE по безопасности и конфиденциальности (IEEE S&P, IEEE SSP), также известный как Оклендская конференция , является ежегодной конференцией, посвященной темам, связанным с компьютерной безопасностью и конфиденциальностью . Конференция была основана в 1980 году Стэном Эймсом и Джорджем Дэвидой и считается одной из ведущих конференций в этой области. [1] [2] Конференция имеет однонаправленный характер, что означает, что все презентации и сессии проводятся последовательно в одном месте. Конференция также следует процессу двойного слепого рецензирования , где личности как авторов, так и рецензентов скрыты друг от друга, чтобы обеспечить беспристрастность и справедливость в процессе рецензирования.

Конференция началась как небольшой семинар, на котором исследователи обменивались идеями по компьютерной безопасности и конфиденциальности, с ранним акцентом на теоретические исследования. В эти первые годы существовало разделение между криптографами и исследователями системной безопасности , причем криптографы часто оставляли сессии, посвященные безопасности систем. В конечном итоге эта проблема была решена путем объединения обсуждений криптографии и системной безопасности на одних и тех же сессиях. В 2011 году конференция переехала в Сан-Франциско из-за проблем с размером места проведения.

Конференция имеет низкий уровень принятия из-за того, что у нее только один трек. Процесс рецензирования для конференции, как правило, оценивает статьи по различным критериям с упором на новизну . В 2022 году исследователи опросили рецензентов с ведущих конференций по безопасности, таких как IEEE S&P, и обнаружили, что процесс рецензирования конференций был уязвим из-за непоследовательных стандартов рецензирования среди рецензентов. Рецензенты рекомендовали наставлять новых рецензентов с упором на качество рецензирования, чтобы смягчить эту проблему.

В 2021 году исследователи из Университета Миннесоты представили на конференцию статью, в которой попытались внести ошибки в ядро ​​Linux , широко используемый компонент операционной системы, без одобрения Институционального наблюдательного совета (IRB). Статья была принята и должна была быть опубликована, однако после критики со стороны сообщества ядра Linux авторы статьи отозвали ее и принесли публичные извинения. В ответ на этот инцидент IEEE S&P обязались добавить этап этической экспертизы в свой процесс рассмотрения статей и улучшить документацию, касающуюся этических деклараций в исследовательских работах.

История

Первоначально конференция была задумана исследователями Стэном Эймсом и Джорджем Дэвидой в 1980 году как небольшой семинар для обсуждения компьютерной безопасности и конфиденциальности. Этот семинар постепенно превратился в более крупное собрание в этой области. Первоначально проводившееся в Claremont Resort , первые несколько итераций мероприятия стали свидетелями разделения между криптографами и исследователями системной безопасности . Обсуждения во время этих ранних итераций в основном были сосредоточены на теоретических исследованиях , пренебрегая практическими аспектами реализации. [3] Это разделение сохранялось до такой степени, что криптографы часто оставляли сессии, сосредоточенные на темах системной безопасности. [4] В ответ на это последующие итерации конференции объединяли панели, которые охватывали как криптографию, так и обсуждения системной безопасности в рамках тех же сессий. Со временем посещаемость конференции росла, что привело к ее переезду в Сан-Франциско в 2011 году из-за ограничений вместимости места проведения. [3]

Структура

Симпозиум IEEE по безопасности и конфиденциальности рассматривает доклады по широкому кругу тем, связанных с компьютерной безопасностью и конфиденциальностью . Каждый год председатели программ конференции публикуют список тем, представляющих интерес, который меняется в зависимости от тенденций в этой области. На прошлых встречах симпозиум IEEE по безопасности и конфиденциальности рассматривал доклады по таким темам, как веб-безопасность , онлайн-злоупотребления , безопасность блокчейна , аппаратная безопасность , анализ вредоносных программ и искусственный интеллект . [5] Конференция следует однодорожечной модели своих заседаний, что означает, что в любой момент времени проводится только одна сессия. Этот подход отличается от многодорожечного формата, обычно используемого на других конференциях по безопасности и конфиденциальности, где одновременно проводятся несколько сессий по разным темам. [3] Документы, представленные для рассмотрения на конференции, рассматриваются с использованием двойного слепого процесса для обеспечения справедливости. [6] Однако эта модель ограничивает конференцию в количестве докладов, которые она может принять, что приводит к низкому уровню принятия, часто составляющему однозначные числа, в отличие от конференций, где показатели могут находиться в диапазоне от 15 до 20 процентов. [3] В 2023 году на симпозиуме IEEE по безопасности и конфиденциальности был создан Комитет по этике исследований, который будет проверять представленные на конференцию статьи и отмечать случаи потенциальных нарушений этики в представленных статьях. [7]

В 2022 году исследование, проведенное Анантой Сонеджи и др., показало, что процессы рецензирования ведущих конференций по безопасности, включая Симпозиум IEEE по безопасности и конфиденциальности, были пригодны для эксплуатации. Исследователи опросили 21 рецензента о критериях, которые они использовали для оценки статей в процессе рецензирования. Среди этих рецензентов 19 определили новизну — продвигает ли статья исследовательскую проблему или современный уровень техники — в качестве своего основного критерия. Девять рецензентов также подчеркнули важность технической обоснованности при реализации, в то время как семь упомянули необходимость в самостоятельной и полной оценке, гарантирующей, что все выявленные области были тщательно исследованы. Кроме того, шесть рецензентов подчеркнули важность четкого и эффективного написания в своих оценках. Основываясь на этих интервью, исследователи выявили отсутствие объективных критериев оценки статей и отметили степень случайности среди рецензий, предоставленных рецензентами конференций, как основные недостатки процесса рецензирования, используемого на конференциях. Чтобы исправить это, исследователи рекомендовали наставлять новых рецензентов, уделяя особое внимание повышению качества рецензирования, а не другим показателям производительности. Они признали инициативу IEEE S&P, позволяющую аспирантам и исследователям, получившим докторскую степень, наблюдать за рецензентами в программном комитете, но также указали на выводы из отчета 2017 года, предполагающие, что эти студенты, как правило, более критичны в своих оценках по сравнению с опытными рецензентами, поскольку их не оценивали по качеству рецензий. [2]

Противоречие

В 2021 году исследователи из Университета Миннесоты представили доклад под названием «О возможности скрытного внедрения уязвимостей в программное обеспечение с открытым исходным кодом с помощью лицемерных коммитов» [8] на 42-й итерации конференции. [9] [10] Они стремились выделить уязвимости в процессе обзора исправлений ядра Linux , и доклад был принят для презентации в 2021 году. [10] Ядро Linux — это широко используемый компонент операционной системы с открытым исходным кодом , который составляет ядро ​​операционной системы Linux , [8] которая является популярным выбором на серверах и в ориентированных на потребителя устройствах, таких как Steam Deck , [11] Android и ChromeOS . [12] Их методы включали написание исправлений для существующих тривиальных ошибок в ядре Linux таким образом, что они намеренно вносили ошибки безопасности в программное обеспечение. [13] Четыре исправления были представлены исследователями под псевдонимами, три из которых были отклонены их соответствующими рецензентами кода, которые правильно определили ошибочный код. [14] Четвертый патч был объединен, однако в ходе последующего расследования было обнаружено, что исследователи неправильно поняли, как работает код, и представили допустимое исправление. [15] Эта попытка включения ошибок была предпринята без одобрения Институционального наблюдательного совета (IRB). [16] [15] Несмотря на рассмотрение на конференции, это нарушение этических обязанностей не было обнаружено в процессе рассмотрения статьи. [10] Этот инцидент вызвал критику со стороны сообщества Linux и более широкого сообщества по кибербезопасности. [16] [17] [18] Грег Кроа-Хартман , один из ведущих сопровождающих ядра, запретил как исследователям, так и университету вносить дальнейший вклад в проект Linux, в конечном итоге заставив авторов и университет отозвать статью [ 8] и принести извинения сообществу разработчиков ядра Linux. [9] [18] В ответ на этот инцидент IEEE S&P обязался добавить этап этической проверки в свой процесс рассмотрения статьи и улучшить свою документацию, касающуюся этических деклараций в исследовательских работах. [10]

Ссылки

  1. ^ Карвер, Джеффри К.; Берчам, Морган; Кочак, Седеф Акинли; Бенер, Айше; Фелдерер, Майкл; Гандер, Маттиас; Кинг, Джейсон; Марккула, Йоуни; Ойво, Маркку; Зауэрвайн, Клеменс; Уильямс, Лори (2016-04-19). "Установление базовой линии для измерения прогресса в науке безопасности: анализ протоколов IEEE по безопасности и конфиденциальности 2015 года". Труды симпозиума и учебного лагеря по науке безопасности . ACM. стр.  38–51 . doi :10.1145/2898375.2898380. ISBN 978-1-4503-4277-3.
  2. ^ ab Soneji, Ananta; Kokulu, Faris Bugra; Rubio-Medrano, Carlos; Bao, Tiffany; Wang, Ruoyu; Shoshitaishvili, Yan; Doupé, Adam (2022-05-01). ""Несовершенная, но, как и демократия, у нас нет лучшей системы": Мнения экспертов о процессе рецензирования при оценке документов по безопасности". Симпозиум IEEE 2022 года по безопасности и конфиденциальности (SP) . IEEE. стр.  1845–1862 . doi :10.1109/SP46214.2022.9833581. ISBN 978-1-6654-1316-9.
  3. ^ abcd Нейман, Питер Г.; Пейсерт, Шон; Шефер, Марвин (2014-05-01). «Симпозиум IEEE по безопасности и конфиденциальности в ретроспективе». Безопасность и конфиденциальность IEEE . 12 (3): 15– 17. doi :10.1109/MSP.2014.59. ISSN  1540-7993.
  4. ^ Нойманн, Питер Г.; Бишоп, Мэтт; Пейсерт, Шон; Шефер, Марв (2010). «Размышления о 30-й годовщине симпозиума IEEE по безопасности и конфиденциальности». Симпозиум IEEE по безопасности и конфиденциальности 2010 г. IEEE. стр.  3–13 . doi :10.1109/sp.2010.43. ISBN 978-1-4244-6894-2.
  5. ^ "IEEE Symposium on Security and Privacy 2023". sp2023.ieee-security.org . Получено 2024-08-25 .
  6. ^ "Симпозиум IEEE по безопасности и конфиденциальности 2024". sp2024.ieee-security.org . Получено 2024-05-06 .
  7. ^ «Сообщение от председателей программы». Симпозиум IEEE 2023 по безопасности и конфиденциальности (SP) . IEEE. 01.05.2023. стр.  34–35 . doi :10.1109/SP46215.2023.10179462. ISBN 978-1-6654-9336-9.
  8. ^ abc Chin, Monica (2021-04-30). «Как университет добился того, чтобы его забанили в ядре Linux». The Verge . Получено 2024-05-12 .
  9. ^ ab Salter, Jim (2021-04-26). «Команда разработчиков ядра Linux отвергает извинения исследователей из Университета Миннесоты». Ars Technica . Получено 2024-05-12 .
  10. ^ abcd "Заявление программного комитета IEEE S&P'21 относительно статьи "Hypocrite Commits"" (PDF) . IEEE SSP . 6 мая 2021 г. . Получено 22 августа 2024 г. .
  11. ^ Декстер, Алан (2021-08-09). «Вот почему Valve переходит с Debian на Arch для Linux OS от Steam Deck». PC Gamer . Получено 2024-08-25 .
  12. ^ "Linux занимает более 3% рынка настольных компьютеров? Все сложнее". ZDNET . Получено 25.08.2024 .
  13. ^ "Грег Кроа-Хартман отстраняет Университет Миннесоты от разработки Linux за преднамеренно ошибочные патчи". ZDNET . Получено 2024-05-12 .
  14. ^ "Обновление по делу UMN [LWN.net]". lwn.net . Получено 2024-08-22 .
  15. ^ ab "Отчет об инциденте с нарушением доверия в Университете Миннесоты - Кис Кук". lore.kernel.org . Получено 22.08.2024 .
  16. ^ ab "Требования Linux Foundation к Университету Миннесоты за его плохой проект безопасности исправлений Linux". ZDNET . Получено 2024-05-12 .
  17. ^ "Намеренно ошибочные коммиты ради славы — и статей [LWN.net]". lwn.net . Получено 2024-08-22 .
  18. ^ ab "Исследователи безопасности из Университета Миннесоты приносят извинения за намеренно ошибочные исправления Linux". ZDNET . Получено 22.08.2024 .
Взято с "https://en.wikipedia.org/w/index.php?title=IEEE_Symposium_on_Security_and_Privacy&oldid=1261207161"