論文の概要: Automated Mapping of Vulnerability Advisories onto their Fix Commits in
Open Source Repositories
- arxiv url: http://arxiv.org/abs/2103.13375v1
- Date: Wed, 24 Mar 2021 17:50:35 GMT
- ステータス: 処理完了
- システム内更新日: 2021-03-25 13:44:56.641297
- Title: Automated Mapping of Vulnerability Advisories onto their Fix Commits in
Open Source Repositories
- Title(参考訳): オープンソースリポジトリの修正コミットへの脆弱性アドバイザリの自動マッピング
- Authors: Daan Hommersom, Antonino Sabetta, Bonaventura Coppola, Damian A.
Tamburri
- Abstract要約: 実践経験と機械学習(ML)を組み合わせたアプローチを提案する。
アドバイザリ(自然言語で表現される)から脆弱性に関する鍵情報を含むアドバイザリレコードを抽出する。
修正コミット候補のサブセットは、影響を受けたプロジェクトのソースコードリポジトリから取得される。
- 参考スコア(独自算出の注目度): 3.9667328624568303
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: The lack of comprehensive sources of accurate vulnerability data represents a
critical obstacle to studying and understanding software vulnerabilities (and
their corrections). In this paper, we present an approach that combines
heuristics stemming from practical experience and machine-learning (ML) -
specifically, natural language processing (NLP) - to address this problem. Our
method consists of three phases. First, an advisory record containing key
information about a vulnerability is extracted from an advisory (expressed in
natural language). Second, using heuristics, a subset of candidate fix commits
is obtained from the source code repository of the affected project by
filtering out commits that are known to be irrelevant for the task at hand.
Finally, for each such candidate commit, our method builds a numerical feature
vector reflecting the characteristics of the commit that are relevant to
predicting its match with the advisory at hand. The feature vectors are then
exploited for building a final ranked list of candidate fixing commits. The
score attributed by the ML model to each feature is kept visible to the users,
allowing them to interpret of the predictions.
We evaluated our approach using a prototype implementation named Prospector
on a manually curated data set that comprises 2,391 known fix commits
corresponding to 1,248 public vulnerability advisories. When considering the
top-10 commits in the ranked results, our implementation could successfully
identify at least one fix commit for up to 84.03% of the vulnerabilities (with
a fix commit on the first position for 65.06% of the vulnerabilities). In
conclusion, our method reduces considerably the effort needed to search OSS
repositories for the commits that fix known vulnerabilities.
- Abstract(参考訳): 正確な脆弱性データソースの欠如は、ソフトウェアの脆弱性(とその修正)を調査および理解するための重要な障害である。
本稿では,実践経験から生じるヒューリスティックスと,機械学習(ML)特有の自然言語処理(NLP)を組み合わせることで,この問題に対処する手法を提案する。
本手法は3段階からなる。
まず、脆弱性に関する重要な情報を含むアドバイザリ記録をアドバイザリ(自然言語で表現)から抽出する。
第二に、ヒューリスティックスを用いることで、影響を受けるプロジェクトのソースコードリポジトリから、そのタスクに関係のないコミットをフィルタリングすることで、候補となる修正コミットのサブセットを取得する。
最後に, 提案手法は, 各候補コミットに対して, それぞれのコミットの特徴を反映した数値的特徴ベクトルを構築する。
フィーチャーベクターは、最終ランク付けされたコミット修正候補リストを構築するために利用される。
MLモデルによって各機能に属性付けられたスコアは、ユーザによって表示され、予測の解釈を可能にする。
我々は,1,248の公開脆弱性アドバイザリーに対応する2,391の既知の修正コミットを手動でキュレートしたデータセット上で,Prospectorというプロトタイプ実装を用いてアプローチを評価した。
ランク付けされた結果の上位10のコミットを考慮すると、我々の実装では、脆弱性の84.03%(脆弱性の65.06%が修正コミットである)に対して、少なくとも1つの修正コミットを特定できた。
結論として,既知の脆弱性を修正するコミットのOSSレポジトリの検索に要する労力を大幅に削減する。
関連論文リスト
- Exploring Automatic Cryptographic API Misuse Detection in the Era of LLMs [60.32717556756674]
本稿では,暗号誤用の検出において,大規模言語モデルを評価するための体系的評価フレームワークを提案する。
11,940個のLCM生成レポートを詳細に分析したところ、LSMに固有の不安定性は、報告の半数以上が偽陽性になる可能性があることがわかった。
最適化されたアプローチは、従来の手法を超え、確立されたベンチマークでこれまで知られていなかった誤用を明らかにすることで、90%近い顕著な検出率を達成する。
論文 参考訳(メタデータ) (2024-07-23T15:31:26Z) - SORRY-Bench: Systematically Evaluating Large Language Model Safety Refusal Behaviors [64.9938658716425]
安全でないユーザリクエストを認識して拒否する、大規模な言語モデル(LLM)の既存の評価は、3つの制限に直面している。
まず、既存の手法では、安全でないトピックの粗い粒度を使い、いくつかのきめ細かいトピックを過剰に表現している。
第二に、プロンプトの言語的特徴とフォーマッティングは、様々な言語、方言など、多くの評価において暗黙的にのみ考慮されているように、しばしば見過ごされる。
第3に、既存の評価は大きなLCMに頼っているため、コストがかかる可能性がある。
論文 参考訳(メタデータ) (2024-06-20T17:56:07Z) - How to Understand Whole Software Repository? [64.19431011897515]
リポジトリ全体に対する優れた理解は、自動ソフトウェアエンジニアリング(ASE)への重要な道になるでしょう。
本研究では,リポジトリ全体を包括的に理解するためのエージェントによるRepoUnderstanderという新しい手法を開発した。
リポジトリレベルの知識をより活用するために、エージェントをまとめ、分析し、計画する。
論文 参考訳(メタデータ) (2024-06-03T15:20:06Z) - Bridging the Gap Between End-to-End and Two-Step Text Spotting [88.14552991115207]
ブリッジングテキストスポッティングは、2段階のメソッドでエラーの蓄積と最適化性能の問題を解決する新しいアプローチである。
提案手法の有効性を広範囲な実験により実証する。
論文 参考訳(メタデータ) (2024-04-06T13:14:04Z) - CompVPD: Iteratively Identifying Vulnerability Patches Based on Human Validation Results with a Precise Context [16.69634193308039]
パッチの通知が不完全で遅延することが多いため、オープンソースソフトウェアにタイムリーにセキュリティパッチを適用するのは難しい。
本稿では,パッチに関連するコードを正確に識別する多粒度スライシングアルゴリズムと適応拡張アルゴリズムを提案する。
脆弱性の特定には、CompVPDと4つのSOTA(State-of-the-art/practice)アプローチを実証的に比較する。
論文 参考訳(メタデータ) (2023-10-04T02:08:18Z) - VFFINDER: A Graph-based Approach for Automated Silent Vulnerability-Fix
Identification [4.837912059099674]
VFFINDERは、サイレント脆弱性の自動検出のためのグラフベースのアプローチである。
これは、アテンションベースのグラフニューラルネットワークモデルを使用して、脆弱性修正コミットと非修正コミットを区別する。
以上の結果から,VFFINDERの精度は39~83%,リコール率19~148%,F1では30~109%向上した。
論文 参考訳(メタデータ) (2023-09-05T05:55:18Z) - Multi-Granularity Detector for Vulnerability Fixes [13.653249890867222]
脆弱性修正のためのMiDa(Multi-Granularity Detector for Vulnerability Fixes)を提案する。
MiDasはコミットレベル、ファイルレベル、ハンクレベル、ラインレベルに対応して、コード変更の粒度ごとに異なるニューラルネットワークを構築する。
MiDasは、現在の最先端のベースラインをAUCで4.9%、JavaとPythonベースのデータセットで13.7%上回っている。
論文 参考訳(メタデータ) (2023-05-23T10:06:28Z) - VulCurator: A Vulnerability-Fixing Commit Detector [8.32137934421055]
VulCuratorは、より豊富な情報ソースでディープラーニングを活用するツールだ。
VulCuratorはF1スコアで最先端のベースラインを最大16.1%上回っている。
論文 参考訳(メタデータ) (2022-09-07T16:11:31Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - Learning Stable Classifiers by Transferring Unstable Features [59.06169363181417]
本研究では,素早い相関関係の存在下での伝達学習について検討する。
提案手法は, ソースタスクで学習した安定な特徴抽出器を直接転送しても, 対象タスクのバイアスを排除できないことを実験的に実証する。
我々は、ソースタスクの不安定な特徴とターゲットタスクの不安定な特徴が直接関連していると仮定する。
論文 参考訳(メタデータ) (2021-06-15T02:41:12Z) - Detecting Security Fixes in Open-Source Repositories using Static Code
Analyzers [8.716427214870459]
機械学習(ML)アプリケーションにおけるコミットを表現する機能として,既製の静的コードアナライザの出力がどの程度使用されるかを検討する。
埋め込みの構築やMLモデルをトレーニングして、脆弱性修正を含むソースコードコミットを自動的に識別する方法について検討する。
当社のメソッドとcommit2vecの組み合わせは,脆弱性を修正するコミットの自動識別において,最先端技術よりも明確な改善であることがわかった。
論文 参考訳(メタデータ) (2021-05-07T15:57:17Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。