論文の概要: Semantic Similarity-Based Clustering of Findings From Security Testing Tools

• arxiv url: http://arxiv.org/abs/2211.11057v1
• Date: Sun, 20 Nov 2022 19:03:19 GMT
• ステータス: 処理完了
• システム内更新日: 2022-11-22 21:34:55.325839
• Title: Semantic Similarity-Based Clustering of Findings From Security Testing Tools
• Title（参考訳）: セマンティック類似性に基づくセキュリティテストツールからの発見のクラスタリング
• Authors: Phillip Schneider, Markus Voggenreiter, Abdullah Gulraiz and Florian Matthes
• Abstract要約: 特に、複数の観点からソフトウェアアーチファクトを検査した後、レポートを生成する自動セキュリティテストツールを使用するのが一般的である。 これらの重複した発見を手動で識別するには、セキュリティ専門家は時間、努力、知識といったリソースを投資する必要がある。 本研究では,意味論的に類似したセキュリティ発見のクラスタリングに自然言語処理を適用する可能性について検討した。
• 参考スコア（独自算出の注目度）: 1.6058099298620423
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Over the last years, software development in domains with high security demands transitioned from traditional methodologies to uniting modern approaches from software development and operations (DevOps). Key principles of DevOps gained more importance and are now applied to security aspects of software development, resulting in the automation of security-enhancing activities. In particular, it is common practice to use automated security testing tools that generate reports after inspecting a software artifact from multiple perspectives. However, this raises the challenge of generating duplicate security findings. To identify these duplicate findings manually, a security expert has to invest resources like time, effort, and knowledge. A partial automation of this process could reduce the analysis effort, encourage DevOps principles, and diminish the chance of human error. In this study, we investigated the potential of applying Natural Language Processing for clustering semantically similar security findings to support the identification of problem-specific duplicate findings. Towards this goal, we developed a web application for annotating and assessing security testing tool reports and published a human-annotated corpus of clustered security findings. In addition, we performed a comparison of different semantic similarity techniques for automatically grouping security findings. Finally, we assess the resulting clusters using both quantitative and qualitative evaluation methods.
• Abstract（参考訳）: ここ数年、セキュリティ要求の高いドメインでのソフトウェア開発は、従来の方法論から、ソフトウェア開発と運用(DevOps)からの現代的なアプローチの統一へと移行しました。 devopsの重要な原則はますます重要になり、今やソフトウェア開発のセキュリティ面に適用され、セキュリティ向上活動の自動化に繋がる。 特に、複数の視点からソフトウェアアーティファクトを検査した後、レポートを生成する自動セキュリティテストツールを使用するのが一般的です。 しかし、これは重複したセキュリティ発見を生成するという課題を提起する。 これらの重複した発見を手動で識別するには、セキュリティ専門家は時間、努力、知識といったリソースを投資する必要がある。 このプロセスの部分的な自動化は、分析の労力を削減し、DevOpsの原則を奨励し、ヒューマンエラーの可能性を低減します。 本研究では,意味論的に類似したセキュリティ発見をクラスタリングするために自然言語処理を適用する可能性を検討した。 この目標に向けて,セキュリティテストツールレポートの注釈付けと評価を行うWebアプリケーションを開発し,クラスタ化されたセキュリティ発見の人手によるコーパスを公開した。 さらに,セキュリティ発見を自動的にグループ化するための意味的類似性の比較を行った。 最後に,定量評価法と定性評価法の両方を用いて,結果のクラスタを評価する。

関連論文リスト

• SecCodePLT: A Unified Platform for Evaluating the Security of Code GenAI [47.11178028457252]
  我々はGenAIのリスクをコードする統合的かつ包括的な評価プラットフォームSecCodePLTを開発した。 安全でないコードには、専門家と自動生成を組み合わせたデータ生成のための新しい方法論を導入する。 サイバー攻撃支援のために、我々はモデルに実際の攻撃を引き起こすよう促すサンプルと、我々の環境における動的な指標を構築した。
  論文  参考訳（メタデータ） (2024-10-14T21:17:22Z)
• Hacking, The Lazy Way: LLM Augmented Pentesting [0.0]
  Pentest Copilot"というツールを使って"LLM Augmented Pentesting"をデモする 私たちの研究には、トークン使用の合理化とパフォーマンス向上のための"思考の連鎖"メカニズムが含まれています。 LLMがファイルの理解を可能にする新しいファイル解析手法を提案する。
  論文  参考訳（メタデータ） (2024-09-14T17:40:35Z)
• A Qualitative Study on Using ChatGPT for Software Security: Perception vs. Practicality [1.7624347338410744]
  ChatGPTは大きな言語モデル(LLM)であり、目覚ましい意味理解と精度で様々なタスクを実行できる。 本研究は,ソフトウェアセキュリティを支える新技術としてChatGPTの可能性を理解することを目的としている。 セキュリティ実践者は、ChatGPTを脆弱性検出、情報検索、侵入テストなど、さまざまなソフトウェアセキュリティタスクに有用であると判断した。
  論文  参考訳（メタデータ） (2024-08-01T10:14:05Z)
• Safetywashing: Do AI Safety Benchmarks Actually Measure Safety Progress? [59.96471873997733]
  我々は、より有意義な安全指標を開発するための実証的な基盤を提案し、機械学習研究の文脈でAIの安全性を定義する。 我々は、AI安全研究のためのより厳格なフレームワークを提供し、安全性評価の科学を前進させ、測定可能な進歩への道筋を明らかにすることを目指している。
  論文  参考訳（メタデータ） (2024-07-31T17:59:24Z)
• Automated Security Findings Management: A Case Study in Industrial DevOps [3.7798600249187295]
  本稿では,産業用DevOpsプロジェクトにおけるセキュリティ発見の管理手法を提案する。 この手法の例として,セキュリティ発見の自動管理のための意味知識基盤であるSecurity Flamaを開発した。
  論文  参考訳（メタデータ） (2024-01-12T14:35:51Z)
• Applying Security Testing Techniques to Automotive Engineering [4.2755847332268235]
  セキュリティ回帰テストは、システムへの変更がセキュリティに害を与えないことを保証する。 利用可能なセキュリティ回帰テスト手法を体系的に分類する。
  論文  参考訳（メタデータ） (2023-09-18T10:32:36Z)
• Constrained Adversarial Learning and its applicability to Automated Software Testing: a systematic review [0.0]
  この体系的なレビューは、敵の学習やソフトウェアテストに適用される制約付きデータ生成手法の現状に焦点を当てている。 研究者や開発者に対して、敵対的な学習方法によるテストツールの強化と、ディジタルシステムのレジリエンスと堅牢性の向上を指導することを目的としている。
  論文  参考訳（メタデータ） (2023-03-14T00:27:33Z)
• CodeLMSec Benchmark: Systematically Evaluating and Finding Security Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
  自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。 これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。 この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
  論文  参考訳（メタデータ） (2023-02-08T11:54:07Z)
• Evaluating Model-free Reinforcement Learning toward Safety-critical Tasks [70.76757529955577]
  本稿では、国家安全RLの観点から、この領域における先行研究を再考する。 安全最適化と安全予測を組み合わせた共同手法であるUnrolling Safety Layer (USL)を提案する。 この領域のさらなる研究を容易にするため、我々は関連するアルゴリズムを統一パイプラインで再現し、SafeRL-Kitに組み込む。
  論文  参考訳（メタデータ） (2022-12-12T06:30:17Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)
• Evaluating the Safety of Deep Reinforcement Learning Models using Semi-Formal Verification [81.32981236437395]
  本稿では,区間分析に基づく半形式的意思決定手法を提案する。 本手法は, 標準ベンチマークに比較して, 形式検証に対して比較結果を得る。 提案手法は, 意思決定モデルにおける安全性特性を効果的に評価することを可能にする。
  論文  参考訳（メタデータ） (2020-10-19T11:18:06Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。