論文の概要: VulCurator: A Vulnerability-Fixing Commit Detector
- arxiv url: http://arxiv.org/abs/2209.03260v1
- Date: Wed, 7 Sep 2022 16:11:31 GMT
- ステータス: 処理完了
- システム内更新日: 2022-09-08 13:08:19.601171
- Title: VulCurator: A Vulnerability-Fixing Commit Detector
- Title(参考訳): vulcurator: 脆弱性フィックスコミット検出ツール
- Authors: Truong Giang Nguyen, Thanh Le-Cong, Hong Jin Kang, Xuan-Bach D. Le,
David Lo
- Abstract要約: VulCuratorは、より豊富な情報ソースでディープラーニングを活用するツールだ。
VulCuratorはF1スコアで最先端のベースラインを最大16.1%上回っている。
- 参考スコア(独自算出の注目度): 8.32137934421055
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Open-source software (OSS) vulnerability management process is important
nowadays, as the number of discovered OSS vulnerabilities is increasing over
time. Monitoring vulnerability-fixing commits is a part of the standard process
to prevent vulnerability exploitation. Manually detecting vulnerability-fixing
commits is, however, time consuming due to the possibly large number of commits
to review. Recently, many techniques have been proposed to automatically detect
vulnerability-fixing commits using machine learning. These solutions either:
(1) did not use deep learning, or (2) use deep learning on only limited sources
of information. This paper proposes VulCurator, a tool that leverages deep
learning on richer sources of information, including commit messages, code
changes and issue reports for vulnerability-fixing commit classifica- tion. Our
experimental results show that VulCurator outperforms the state-of-the-art
baselines up to 16.1% in terms of F1-score. VulCurator tool is publicly
available at https://github.com/ntgiang71096/VFDetector and
https://zenodo.org/record/7034132#.Yw3MN-xBzDI, with a demo video at
https://youtu.be/uMlFmWSJYOE.
- Abstract(参考訳): オープンソースのソフトウェア(OSS)の脆弱性管理プロセスは、最近重要になっている。
脆弱性修正コミットの監視は、脆弱性のエクスプロイトを防ぐための標準プロセスの一部である。
しかし、脆弱性フィックスコミットを手動で検出することは、レビューするコミットの数が多すぎるため、時間がかかる。
近年,機械学習を用いて脆弱性修正コミットを自動的に検出する手法が多数提案されている。
1) 深層学習を用いなかったか,(2) 限られた情報源でのみ深層学習を行ったかのいずれかであった。
本稿では,コミットメッセージやコード変更,イシューレポートなど,より豊富な情報ソースのディープラーニングを活用した脆弱性フィックス用のツールであるvulcuratorを提案する。
実験の結果,VulCuratorはF1スコアにおいて,最先端のベースラインよりも16.1%高い性能を示した。
VulCuratorツールはhttps://github.com/ntgiang71096/VFDetectorとhttps://zenodo.org/record/7034132#で公開されている。
Yw3MN-xBzDI, a demo video at https://youtu.be/uMlFmWSJYOE.com
関連論文リスト
- Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。
35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。
ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
論文 参考訳(メタデータ) (2024-11-12T01:55:51Z) - Fixing Security Vulnerabilities with AI in OSS-Fuzz [9.730566646484304]
OSS-Fuzzは、オープンソースシステムの継続的な検証のための最も重要で広く使用されているインフラである。
セキュリティ脆弱性を修正するために、よく知られたAutoCodeRoverエージェントをカスタマイズします。
OSS-Fuzz脆弱性データを用いた経験から,LSMエージェントの自律性はセキュリティパッチの成功に有用であることがわかった。
論文 参考訳(メタデータ) (2024-11-03T16:20:32Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - VulZoo: A Comprehensive Vulnerability Intelligence Dataset [12.229092589037808]
VulZooは17の人気の脆弱性情報ソースをカバーする、包括的な脆弱性インテリジェンスデータセットである。
VulZooを一般公開し、今後の研究を容易にするためにインクリメンタルアップデートでメンテナンスしています。
論文 参考訳(メタデータ) (2024-06-24T06:39:07Z) - Game Rewards Vulnerabilities: Software Vulnerability Detection with
Zero-Sum Game and Prototype Learning [17.787508315322906]
本稿では,ソフトのvulneRability dEteCtion フレームワークと zerO-sum ゲーム,プロトタイプの LearNing,RECON を提案する。
我々はRECONが6.29%のF1スコアで最先端のベースラインを上回っていることを示す。
論文 参考訳(メタデータ) (2024-01-16T05:50:42Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z) - Statement-Level Vulnerability Detection: Learning Vulnerability Patterns Through Information Theory and Contrastive Learning [31.15123852246431]
本稿では,特定の関数の脆弱性関連コード文を特定するために,エンドツーエンドのディープラーニングに基づく新しいアプローチを提案する。
実世界の脆弱なコードで観測される構造にインスパイアされ、私たちはまず、潜伏変数の集合を学習するために相互情報を活用する。
そこで我々は,表現学習をさらに改善するために,新しいクラスタ型空間コントラスト学習を提案する。
論文 参考訳(メタデータ) (2022-09-20T00:46:20Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - Automated Mapping of Vulnerability Advisories onto their Fix Commits in
Open Source Repositories [7.629717457706326]
実践経験と機械学習(ML)を組み合わせたアプローチを提案する。
アドバイザリから脆弱性に関する鍵情報を含むアドバイザリレコードを抽出する。
影響を受けるプロジェクトのソースコードリポジトリから、候補となる修正コミットのサブセットを取得する。
論文 参考訳(メタデータ) (2021-03-24T17:50:35Z) - ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep
Neural Network and Transfer Learning [80.85273827468063]
既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。
スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。
ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
論文 参考訳(メタデータ) (2021-03-23T15:04:44Z) - D2A: A Dataset Built for AI-Based Vulnerability Detection Methods Using
Differential Analysis [55.15995704119158]
静的解析ツールによって報告されたラベル問題に対する差分解析に基づくアプローチであるD2Aを提案する。
D2Aを使用して大きなラベル付きデータセットを生成し、脆弱性識別のためのモデルをトレーニングします。
論文 参考訳(メタデータ) (2021-02-16T07:46:53Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。