論文の概要: Detecting Security Patches via Behavioral Data in Code Repositories
- arxiv url: http://arxiv.org/abs/2302.02112v1
- Date: Sat, 4 Feb 2023 06:43:07 GMT
- ステータス: 処理完了
- システム内更新日: 2023-02-07 20:15:40.256265
- Title: Detecting Security Patches via Behavioral Data in Code Repositories
- Title(参考訳): コードリポジトリの振る舞いデータによるセキュリティパッチの検出
- Authors: Nitzan Farhi, Noam Koenigstein, Yuval Shavitt
- Abstract要約: Gitリポジトリ内の開発者動作のみを使用して,セキュリティパッチを自動的に識別するシステムを示す。
秘密のセキュリティパッチを88.3%、F1スコア89.8%で公開できることを示しました。
- 参考スコア(独自算出の注目度): 11.052678122289871
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: The absolute majority of software today is developed collaboratively using
collaborative version control tools such as Git. It is a common practice that
once a vulnerability is detected and fixed, the developers behind the software
issue a Common Vulnerabilities and Exposures or CVE record to alert the user
community of the security hazard and urge them to integrate the security patch.
However, some companies might not disclose their vulnerabilities and just
update their repository. As a result, users are unaware of the vulnerability
and may remain exposed. In this paper, we present a system to automatically
identify security patches using only the developer behavior in the Git
repository without analyzing the code itself or the remarks that accompanied
the fix (commit message). We showed we can reveal concealed security patches
with an accuracy of 88.3% and F1 Score of 89.8%. This is the first time that a
language-oblivious solution for this problem is presented.
- Abstract(参考訳): 今日のソフトウェアの大部分は、gitのような協調バージョン管理ツールを使って共同開発されている。
脆弱性が検出され、修正されると、ソフトウェアを開発する開発者は、セキュリティの危険性をユーザコミュニティに警告し、セキュリティパッチを統合するよう促すために、Common Vulnerabilities and Exposures(CVEレコード)を発行する。
しかし、一部の企業は脆弱性を公表せず、リポジトリを更新している。
その結果、ユーザは脆弱性に気づいておらず、露出し続ける可能性がある。
本稿では,Gitリポジトリの開発者動作のみを使用して,修正に伴うコード自体やコメント(コミットメッセージ)を分析することなく,セキュリティパッチを自動的に識別するシステムを提案する。
秘密のセキュリティパッチを88.3%、F1スコア89.8%で公開できることを示した。
この問題に対する言語的な解決法が提示されたのは今回が初めてである。
関連論文リスト
- Toward Effective Secure Code Reviews: An Empirical Study of
Security-Related Coding Weaknesses [15.441257870873573]
我々は OpenSSL と PHP の2つの大規模オープンソースプロジェクトで実証的なケーススタディを行った。
135,560のコードレビューコメントに基づいて、40のコーディング弱点カテゴリのうち35に、レビュー担当者がセキュリティ上の懸念を提起していることが分かりました。
メモリエラーやリソース管理といった過去の脆弱性に関連するコーディングの弱点は、脆弱性よりも少ない頻度で議論された。
論文 参考訳(メタデータ) (2023-11-28T00:49:00Z) - Exploring Security Practices in Infrastructure as Code: An Empirical
Study [54.669404064111795]
クラウドコンピューティングは、Infrastructure as Code (IaC)ツールが広く使われていることで人気を博している。
スクリプティングプロセスは、実践者が自動的に設定ミスや脆弱性、プライバシリスクを導入するのを防ぐものではない。
セキュリティの確保は、実践者が明確な方針、ガイドライン、ベストプラクティスを理解し、採用することに依存する。
論文 参考訳(メタデータ) (2023-08-07T23:43:32Z) - Security Defect Detection via Code Review: A Study of the OpenStack and
Qt Communities [7.2944322548786715]
セキュリティ欠陥は、コードレビューでは議論されていない。
レビューの半数以上が、開発者がセキュリティ欠陥を修正するための明確な修正戦略/ソリューションを提供しています。
開発者とレビュアーの相違は、セキュリティ欠陥を解決しない主な原因である。
論文 参考訳(メタデータ) (2023-07-05T14:30:41Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z) - Transformer-based Vulnerability Detection in Code at EditTime:
Zero-shot, Few-shot, or Fine-tuning? [5.603751223376071]
脆弱性のあるコードパターンの大規模データセットにディープラーニングを活用する実用的なシステムを提案する。
美術品の脆弱性検出モデルと比較すると,我々の手法は工芸品の状態を10%改善する。
論文 参考訳(メタデータ) (2023-05-23T01:21:55Z) - CodeLMSec Benchmark: Systematically Evaluating and Finding Security
Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。
これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。
この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
論文 参考訳(メタデータ) (2023-02-08T11:54:07Z) - VulCurator: A Vulnerability-Fixing Commit Detector [8.32137934421055]
VulCuratorは、より豊富な情報ソースでディープラーニングを活用するツールだ。
VulCuratorはF1スコアで最先端のベースラインを最大16.1%上回っている。
論文 参考訳(メタデータ) (2022-09-07T16:11:31Z) - ObjectSeeker: Certifiably Robust Object Detection against Patch Hiding
Attacks via Patch-agnostic Masking [95.6347501381882]
物体探知機は物理的世界のパッチ隠蔽攻撃に弱いことが判明した。
我々は,堅牢なオブジェクト検出器を構築するためのフレームワークとしてObjectSeekerを提案する。
論文 参考訳(メタデータ) (2022-02-03T19:34:25Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - Early Detection of Security-Relevant Bug Reports using Machine Learning:
How Far Are We? [6.438136820117887]
典型的なメンテナンスシナリオでは、セキュリティ関連バグレポートは、修正パッチを作成する際に開発チームによって優先される。
オープンなセキュリティ関連バグレポートは、攻撃者がゼロデイ攻撃を実行するために活用できる機密情報の重大な漏洩になる可能性がある。
近年,機械学習に基づくセキュリティ関連バグレポートの検出手法が,有望な性能で報告されている。
論文 参考訳(メタデータ) (2021-12-19T11:30:29Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。