論文の概要: Multi-Granularity Detector for Vulnerability Fixes

• arxiv url: http://arxiv.org/abs/2305.13884v1
• Date: Tue, 23 May 2023 10:06:28 GMT
• ステータス: 処理完了
• システム内更新日: 2023-05-24 17:06:39.988013
• Title: Multi-Granularity Detector for Vulnerability Fixes
• Title（参考訳）: 脆弱性修正のためのマルチグラニュラリティ検出器
• Authors: Truong Giang Nguyen, Thanh Le-Cong, Hong Jin Kang, Ratnadira Widyasari, Chengran Yang, Zhipeng Zhao, Bowen Xu, Jiayuan Zhou, Xin Xia, Ahmed E. Hassan, Xuan-Bach D. Le, David Lo
• Abstract要約: 脆弱性修正のためのMiDa(Multi-Granularity Detector for Vulnerability Fixes)を提案する。 MiDasはコミットレベル、ファイルレベル、ハンクレベル、ラインレベルに対応して、コード変更の粒度ごとに異なるニューラルネットワークを構築する。 MiDasは、現在の最先端のベースラインをAUCで4.9%、JavaとPythonベースのデータセットで13.7%上回っている。
• 参考スコア（独自算出の注目度）: 13.653249890867222
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: With the increasing reliance on Open Source Software, users are exposed to third-party library vulnerabilities. Software Composition Analysis (SCA) tools have been created to alert users of such vulnerabilities. SCA requires the identification of vulnerability-fixing commits. Prior works have proposed methods that can automatically identify such vulnerability-fixing commits. However, identifying such commits is highly challenging, as only a very small minority of commits are vulnerability fixing. Moreover, code changes can be noisy and difficult to analyze. We observe that noise can occur at different levels of detail, making it challenging to detect vulnerability fixes accurately. To address these challenges and boost the effectiveness of prior works, we propose MiDas (Multi-Granularity Detector for Vulnerability Fixes). Unique from prior works, Midas constructs different neural networks for each level of code change granularity, corresponding to commit-level, file-level, hunk-level, and line-level, following their natural organization. It then utilizes an ensemble model that combines all base models to generate the final prediction. This design allows MiDas to better handle the noisy and highly imbalanced nature of vulnerability-fixing commit data. Additionally, to reduce the human effort required to inspect code changes, we have designed an effort-aware adjustment for Midas's outputs based on commit length. The evaluation results demonstrate that MiDas outperforms the current state-of-the-art baseline in terms of AUC by 4.9% and 13.7% on Java and Python-based datasets, respectively. Furthermore, in terms of two effort-aware metrics, EffortCost@L and Popt@L, MiDas also outperforms the state-of-the-art baseline, achieving improvements of up to 28.2% and 15.9% on Java, and 60% and 51.4% on Python, respectively.
• Abstract（参考訳）: オープンソースソフトウェアへの依存が高まり、ユーザはサードパーティのライブラリの脆弱性に晒される。 このような脆弱性をユーザに警告するソフトウェア構成分析(sca)ツールが開発された。 SCAは脆弱性修正コミットの識別を必要とします。 以前の作業では,このような脆弱性フィックスコミットを自動的に識別する手法が提案されている。 しかし、そのようなコミットの特定は非常に困難であり、ごく少数のコミットだけが脆弱性の修正である。 さらに、コードの変更は騒がしく分析が難しい場合もあります。 ノイズは様々なレベルで発生するため、脆弱性の修正を正確に検出することは困難である。 これらの課題に対処し、先行研究の有効性を高めるために、Multi-Granularity Detector for Vulnerability Fixesを提案する。 以前の作業と異なる、midaは、コミットレベル、ファイルレベル、hunkレベル、行レベルに対応する各レベルのコード粒度を変更するために、異なるニューラルネットワークを構築している。 そして、すべてのベースモデルを組み合わせて最終予測を生成するアンサンブルモデルを利用する。 この設計により、midaは脆弱性フィックスコミットデータのノイズと高度にバランスのとれた性質をよりうまく扱うことができる。 さらに,コード変更の検査に要する人的労力を削減するため,コミット長に基づいて,Midasの出力に対する作業意識の調整を設計した。 評価結果は、MiDasが現在の最先端ベースラインをAUCで4.9%、JavaとPythonベースのデータセットで13.7%上回っていることを示している。 さらに、EffortCost@LとPopt@Lの2つの取り組みを意識して、MiDasは最先端のベースラインを上回り、Javaで最大28.2%、Javaで15.9%、Pythonで60%、51.4%の改善を実現している。

関連論文リスト

• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• Advancing the Robustness of Large Language Models through Self-Denoised Smoothing [50.54276872204319]
  大規模言語モデル(LLM)は大きな成功を収めたが、敵の摂動に対する脆弱性は大きな懸念を引き起こしている。 本稿では,LLMのマルチタスク特性を活用して,まずノイズの入力を識別し,次にこれらの復号化バージョンに基づいて予測を行う。 LLMのロバスト性を高めるために個別のモデルを訓練する必要がある従来のコンピュータビジョンのスムース化技術とは異なり、本手法は効率と柔軟性を著しく向上させる。
  論文  参考訳（メタデータ） (2024-04-18T15:47:00Z)
• FineWAVE: Fine-Grained Warning Verification of Bugs for Automated Static Analysis Tools [18.927121513404924]
  ASAT(Automated Static Analysis Tools)は、バグ検出を支援するために、時間とともに進化してきた。 これまでの研究は、報告された警告を検証するための学習ベースの方法を探究してきた。 我々は,バグに敏感な警告をきめ細かい粒度で検証する学習ベースアプローチであるFineWAVEを提案する。
  論文  参考訳（メタデータ） (2024-03-24T06:21:35Z)
• CompVPD: Iteratively Identifying Vulnerability Patches Based on Human Validation Results with a Precise Context [16.69634193308039]
  パッチの通知が不完全で遅延することが多いため、オープンソースソフトウェアにタイムリーにセキュリティパッチを適用するのは難しい。 本稿では,パッチに関連するコードを正確に識別する多粒度スライシングアルゴリズムと適応拡張アルゴリズムを提案する。 脆弱性の特定には、CompVPDと4つのSOTA(State-of-the-art/practice)アプローチを実証的に比較する。
  論文  参考訳（メタデータ） (2023-10-04T02:08:18Z)
• Silent Vulnerability-fixing Commit Identification Based on Graph Neural Networks [4.837912059099674]
  VFFINDERは、サイレント脆弱性の自動検出のためのグラフベースのアプローチである。 VFFINDERは、アテンションベースのグラフニューラルネットワークモデルを使用して、脆弱性修正コミットと非修正コミットを区別する。 以上の結果から,VFFINDERは精度272-420%,リコール22-70%,F13.2X-8.2Xに改善した。
  論文  参考訳（メタデータ） (2023-09-15T07:51:39Z)
• VFFINDER: A Graph-based Approach for Automated Silent Vulnerability-Fix Identification [4.837912059099674]
  VFFINDERは、サイレント脆弱性の自動検出のためのグラフベースのアプローチである。 これは、アテンションベースのグラフニューラルネットワークモデルを使用して、脆弱性修正コミットと非修正コミットを区別する。 以上の結果から,VFFINDERの精度は39～83%,リコール率19～148%,F1では30～109%向上した。
  論文  参考訳（メタデータ） (2023-09-05T05:55:18Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)
• Automated Mapping of Vulnerability Advisories onto their Fix Commits in Open Source Repositories [7.629717457706326]
  実践経験と機械学習(ML)を組み合わせたアプローチを提案する。 アドバイザリから脆弱性に関する鍵情報を含むアドバイザリレコードを抽出する。 影響を受けるプロジェクトのソースコードリポジトリから、候補となる修正コミットのサブセットを取得する。
  論文  参考訳（メタデータ） (2021-03-24T17:50:35Z)
• D2A: A Dataset Built for AI-Based Vulnerability Detection Methods Using Differential Analysis [55.15995704119158]
  静的解析ツールによって報告されたラベル問題に対する差分解析に基づくアプローチであるD2Aを提案する。 D2Aを使用して大きなラベル付きデータセットを生成し、脆弱性識別のためのモデルをトレーニングします。
  論文  参考訳（メタデータ） (2021-02-16T07:46:53Z)
• Multi-scale Interactive Network for Salient Object Detection [91.43066633305662]
  本稿では,隣接レベルからの機能を統合するためのアグリゲート・インタラクション・モジュールを提案する。 より効率的なマルチスケール機能を得るために、各デコーダユニットに自己相互作用モジュールを埋め込む。 5つのベンチマークデータセットによる実験結果から,提案手法は後処理を一切行わず,23の最先端手法に対して良好に動作することが示された。
  論文  参考訳（メタデータ） (2020-07-17T15:41:37Z)
• Meta-Learned Confidence for Few-shot Learning [60.6086305523402]
  数ショットのメトリックベースのアプローチのための一般的なトランスダクティブ推論手法は、最も確実なクエリ例の平均で、各クラスのプロトタイプを更新することである。 本稿では,各クエリの信頼度をメタラーニングして,ラベルのないクエリに最適な重みを割り当てる手法を提案する。 4つのベンチマークデータセットに対してメタ学習の信頼度で、少数ショットの学習モデルを検証した。
  論文  参考訳（メタデータ） (2020-02-27T10:22:17Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。