論文の概要: Early Detection of Security-Relevant Bug Reports using Machine Learning:
How Far Are We?
- arxiv url: http://arxiv.org/abs/2112.10123v1
- Date: Sun, 19 Dec 2021 11:30:29 GMT
- ステータス: 処理完了
- システム内更新日: 2021-12-21 15:43:38.534052
- Title: Early Detection of Security-Relevant Bug Reports using Machine Learning:
How Far Are We?
- Title(参考訳): 機械学習によるセキュリティ関連バグレポートの早期検出:我々はどこまでいるのか?
- Authors: Arthur D. Sawadogo, Quentin Guimard, Tegawend\'e F. Bissyand\'e,
Abdoul Kader Kabor\'e, Jacques Klein, Naouel Moha
- Abstract要約: 典型的なメンテナンスシナリオでは、セキュリティ関連バグレポートは、修正パッチを作成する際に開発チームによって優先される。
オープンなセキュリティ関連バグレポートは、攻撃者がゼロデイ攻撃を実行するために活用できる機密情報の重大な漏洩になる可能性がある。
近年,機械学習に基づくセキュリティ関連バグレポートの検出手法が,有望な性能で報告されている。
- 参考スコア(独自算出の注目度): 6.438136820117887
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Bug reports are common artefacts in software development. They serve as the
main channel for users to communicate to developers information about the
issues that they encounter when using released versions of software programs.
In the descriptions of issues, however, a user may, intentionally or not,
expose a vulnerability. In a typical maintenance scenario, such
security-relevant bug reports are prioritised by the development team when
preparing corrective patches. Nevertheless, when security relevance is not
immediately expressed (e.g., via a tag) or rapidly identified by triaging
teams, the open security-relevant bug report can become a critical leak of
sensitive information that attackers can leverage to perform zero-day attacks.
To support practitioners in triaging bug reports, the research community has
proposed a number of approaches for the detection of security-relevant bug
reports. In recent years, approaches in this respect based on machine learning
have been reported with promising performance. Our work focuses on such
approaches, and revisits their building blocks to provide a comprehensive view
on the current achievements. To that end, we built a large experimental dataset
and performed extensive experiments with variations in feature sets and
learning algorithms. Eventually, our study highlights different approach
configurations that yield best performing classifiers.
- Abstract(参考訳): バグレポートはソフトウェア開発の一般的な成果物です。
ユーザーがソフトウェアプログラムのリリースバージョンを使用する際に遭遇する問題に関する情報を開発者に伝えるための主要なチャンネルとして機能する。
しかしながら、問題の説明では、ユーザーが意図的に脆弱性を公開するか否かを問わない。
典型的なメンテナンスシナリオでは、このようなセキュリティ関連のバグレポートは、修正パッチの作成時に開発チームによって優先される。
それでも、セキュリティ関連性が直ちに表現されない場合(例えばタグを通じて)、あるいはトリアージチームによって迅速に識別される場合、オープンなセキュリティ関連バグレポートは攻撃者がゼロデイ攻撃を実行するために利用できる機密情報の重大な漏洩となる可能性がある。
バグレポートをトリアージする実践者を支援するため、研究コミュニティはセキュリティ関連バグレポートの検出にいくつかのアプローチを提案している。
近年,機械学習に基づくこのような手法が,有望な性能で報告されている。
我々の研究はそのようなアプローチに焦点をあて、そのビルディングブロックを見直し、現在の成果を包括的に把握する。
そのために、我々は大規模な実験データセットを構築し、特徴セットと学習アルゴリズムのバリエーションで広範な実験を行った。
最終的に、我々の研究は、最高の性能の分類器を生み出す異なるアプローチ構成を強調した。
関連論文リスト
- Leveraging Large Language Models for Efficient Failure Analysis in Game Development [47.618236610219554]
本稿では,テストの失敗の原因となるコードの変更を自動的に識別する手法を提案する。
このメソッドは、LLM(Large Language Models)を利用して、エラーメッセージと対応するコード変更を関連付ける。
当社のアプローチは新たに作成したデータセットで71%の精度に達しています。
論文 参考訳(メタデータ) (2024-06-11T09:21:50Z) - The Impact Of Bug Localization Based on Crash Report Mining: A Developers' Perspective [7.952391285456257]
事故報告をグループ化し,バグコードを見つけるためのアプローチを18ヶ月にわたって毎週実施した経験を報告する。
この調査で調査されたアプローチは、バギーファイルの大部分を正しく示唆していた。
論文 参考訳(メタデータ) (2024-03-16T01:23:01Z) - An Investigation of Hardware Security Bug Characteristics in Open-Source Projects [4.526103806673449]
私たちは、バグレポートやバグ修正を含む、人気のあるOpenTitanプロジェクトについて深く掘り下げています。
バグを機能やセキュリティに関連するものとして手動で分類し、セキュリティバグの影響や位置といった特性を分析します。
その結果、OpenTitanのバグの53%が潜在的なセキュリティ上の影響があり、すべてのバグ修正の55%が1つのファイルだけを変更していることがわかった。
論文 参考訳(メタデータ) (2024-02-01T15:47:01Z) - Toward Rapid Bug Resolution for Android Apps [0.4759142872591625]
本稿では,既存のバグレポートの限界について述べるとともに,それに対応するための潜在的戦略を明らかにする。
私たちのビジョンは、これらの制限の緩和と、提案された新しい研究の方向性の実行が、レポーターと開発者の両方に利益をもたらす、未来を包含しています。
論文 参考訳(メタデータ) (2023-12-23T18:29:06Z) - Recommending Bug Assignment Approaches for Individual Bug Reports: An
Empirical Investigation [8.186068333538893]
バグレポートに対処できる潜在的な開発者を自動的に推薦する複数のアプローチが提案されている。
これらのアプローチは一般的に、あらゆるソフトウェアプロジェクトに提出されたバグレポートに対して機能するように設計されています。
2つのオープンソースシステムから2,249件のバグレポートに適用した3つのバグ割り当て手法を用いて,この推測を検証する実験的検討を行った。
論文 参考訳(メタデータ) (2023-05-29T23:02:56Z) - CodeLMSec Benchmark: Systematically Evaluating and Finding Security
Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。
これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。
この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
論文 参考訳(メタデータ) (2023-02-08T11:54:07Z) - Using Developer Discussions to Guide Fixing Bugs in Software [51.00904399653609]
我々は,タスク実行前に利用可能であり,また自然発生しているバグレポートの議論を,開発者による追加情報の必要性を回避して利用することを提案する。
このような議論から派生したさまざまな自然言語コンテキストがバグ修正に役立ち、オラクルのバグ修正コミットに対応するコミットメッセージの使用よりもパフォーマンスの向上につながることを実証する。
論文 参考訳(メタデータ) (2022-11-11T16:37:33Z) - Annotation Error Detection: Analyzing the Past and Present for a More
Coherent Future [63.99570204416711]
我々は、潜在的なアノテーションの誤りを検知するための18の手法を再実装し、9つの英語データセット上で評価する。
アノテーションエラー検出タスクの新しい形式化を含む一様評価設定を定義する。
私たちはデータセットと実装を,使いやすく,オープンソースのソフトウェアパッケージとしてリリースしています。
論文 参考訳(メタデータ) (2022-06-05T22:31:45Z) - Learning to Reduce False Positives in Analytic Bug Detectors [12.733531603080674]
偽陽性のバグ警告を識別するためのトランスフォーマーに基づく学習手法を提案する。
我々は,静的解析の精度を17.5%向上させることができることを示した。
論文 参考訳(メタデータ) (2022-03-08T04:26:26Z) - D2A: A Dataset Built for AI-Based Vulnerability Detection Methods Using
Differential Analysis [55.15995704119158]
静的解析ツールによって報告されたラベル問題に対する差分解析に基づくアプローチであるD2Aを提案する。
D2Aを使用して大きなラベル付きデータセットを生成し、脆弱性識別のためのモデルをトレーニングします。
論文 参考訳(メタデータ) (2021-02-16T07:46:53Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。