論文の概要: AIBugHunter: A Practical Tool for Predicting, Classifying and Repairing
Software Vulnerabilities
- arxiv url: http://arxiv.org/abs/2305.16615v1
- Date: Fri, 26 May 2023 04:21:53 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-24 05:24:40.733188
- Title: AIBugHunter: A Practical Tool for Predicting, Classifying and Repairing
Software Vulnerabilities
- Title(参考訳): AIBugHunter: ソフトウェアの脆弱性を予測、分類、修復するための実践的なツール
- Authors: Michael Fu and Chakkrit Tantithamthavorn and Trung Le and Yuki Kume
and Van Nguyen and Dinh Phung and John Grundy
- Abstract要約: AIBugHunterは、C/C++言語用のMLベースのソフトウェア脆弱性分析ツールで、Visual Studio Codeに統合されている。
本稿では,新たな多目的最適化(MOO)に基づく脆弱性分類手法と,AIBugHunterが脆弱性タイプを正確に識別し,重症度を推定するためのトランスフォーマーに基づく評価手法を提案する。
- 参考スコア(独自算出の注目度): 27.891905729536372
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: Many ML-based approaches have been proposed to automatically detect,
localize, and repair software vulnerabilities. While ML-based methods are more
effective than program analysis-based vulnerability analysis tools, few have
been integrated into modern IDEs, hindering practical adoption. To bridge this
critical gap, we propose AIBugHunter, a novel ML-based software vulnerability
analysis tool for C/C++ languages that is integrated into Visual Studio Code.
AIBugHunter helps software developers to achieve real-time vulnerability
detection, explanation, and repairs during programming. In particular,
AIBugHunter scans through developers' source code to (1) locate
vulnerabilities, (2) identify vulnerability types, (3) estimate vulnerability
severity, and (4) suggest vulnerability repairs. In this article, we propose a
novel multi-objective optimization (MOO)-based vulnerability classification
approach and a transformer-based estimation approach to help AIBugHunter
accurately identify vulnerability types and estimate severity. Our empirical
experiments on a large dataset consisting of 188K+ C/C++ functions confirm that
our proposed approaches are more accurate than other state-of-the-art baseline
methods for vulnerability classification and estimation. Furthermore, we
conduct qualitative evaluations including a survey study and a user study to
obtain software practitioners' perceptions of our AIBugHunter tool and assess
the impact that AIBugHunter may have on developers' productivity in security
aspects. Our survey study shows that our AIBugHunter is perceived as useful
where 90% of the participants consider adopting our AIBugHunter. Last but not
least, our user study shows that our AIBugHunter could possibly enhance
developers' productivity in combating cybersecurity issues during software
development.
- Abstract(参考訳): ソフトウェアの脆弱性を自動検出、ローカライズ、修復するためのmlベースのアプローチが数多く提案されている。
MLベースのメソッドは、プログラム分析ベースの脆弱性分析ツールよりも効果的だが、現代のIDEに統合されているものはほとんどなく、実践的な採用を妨げる。
AIBugHunterは、C/C++言語用の新しいMLベースのソフトウェア脆弱性分析ツールで、Visual Studio Codeに統合されている。
AIBugHunterは、ソフトウェア開発者がプログラミング中にリアルタイムの脆弱性の検出、説明、修復を行うのを助ける。
特に、aibughunterは開発者ソースコードをスキャンして、(1)脆弱性の特定、(2)脆弱性のタイプ特定、(3)脆弱性の深刻度の推定、(4)脆弱性修復を提案する。
本稿では,多目的最適化(moo)に基づく脆弱性分類手法と,aibughunterが脆弱性タイプを正確に識別し,重大度を推定するためのトランスフォーマーに基づく推定手法を提案する。
188k+c/c++関数からなる大規模データセットに関する実証実験により,提案手法が脆弱性分類と推定のための最先端のベースライン手法よりも正確であることが確認された。
さらに,AIBugHunterツールに対するソフトウェア実践者の認識を得て,AIBugHunterがセキュリティ面における開発者の生産性に与える影響を評価するために,調査研究やユーザスタディを含む質的な評価を行う。
調査の結果,AIBugHunterは,90%の参加者がAIBugHunterの採用を検討する上で有用であることがわかった。
最後に、私たちのユーザ調査は、AIBugHunterがソフトウェア開発中にサイバーセキュリティ問題に対処する際の開発者の生産性を高める可能性があることを示しています。
関連論文リスト
- CRepair: CVAE-based Automatic Vulnerability Repair Technology [1.147605955490786]
ソフトウェア脆弱性は、現代のソフトウェアとそのアプリケーションデータの完全性、セキュリティ、信頼性に重大な脅威をもたらす。
脆弱性修復の課題に対処するため、研究者らは、学習に基づく自動脆弱性修復技術が広く注目を集めるなど、様々な解決策を提案している。
本稿では,システムコードのセキュリティ脆弱性を修正することを目的としたCVAEベースの自動脆弱性修復技術であるCRepairを提案する。
論文 参考訳(メタデータ) (2024-11-08T12:55:04Z) - Benchmarking Vision Language Model Unlearning via Fictitious Facial Identity Dataset [94.13848736705575]
我々は、未学習アルゴリズムの有効性を頑健に評価するために設計された新しいVLMアンラーニングベンチマークであるFacial Identity Unlearning Benchmark (FIUBench)を紹介する。
情報ソースとその露出レベルを正確に制御する2段階評価パイプラインを適用した。
FIUBench 内の 4 つのベースライン VLM アンラーニングアルゴリズムの評価により,すべての手法がアンラーニング性能に制限されていることが明らかとなった。
論文 参考訳(メタデータ) (2024-11-05T23:26:10Z) - RealVul: Can We Detect Vulnerabilities in Web Applications with LLM? [4.467475584754677]
本稿では,PHP 脆弱性検出用に設計された最初の LLM ベースのフレームワークである RealVul を紹介する。
コードの合理化と不要なセマンティック情報を排除しながら、潜在的な脆弱性トリガを分離できます。
また、データ合成法の改善により、PHPの脆弱性サンプルが不足している問題にも対処する。
論文 参考訳(メタデータ) (2024-10-10T03:16:34Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - Causative Insights into Open Source Software Security using Large
Language Code Embeddings and Semantic Vulnerability Graph [3.623199159688412]
オープンソースソフトウェア(OSS)の脆弱性は、不正アクセス、データ漏洩、ネットワーク障害、プライバシー侵害を引き起こす可能性がある。
最近のディープラーニング技術は、ソースコードの脆弱性を特定し、ローカライズする上で大きな可能性を示しています。
本研究は,従来の方法に比べてコード修復能力が24%向上したことを示す。
論文 参考訳(メタデータ) (2024-01-13T10:33:22Z) - Exploiting Library Vulnerability via Migration Based Automating Test
Generation [16.39796265296833]
ソフトウェア開発において、開発者は既存の機能を実装するのを避けるためにサードパーティのライブラリを幅広く利用する。
脆弱性のエクスプロイトは、公開後に脆弱性を再現するためのコードスニペットとして、豊富な脆弱性関連情報を含んでいる。
本研究は、開発者が依存関係を更新するかどうかを判断する基盤として脆弱性エクスプロイトテストを提供するVESTAと呼ばれる、脆弱性エクスプロイトに基づく新しい手法を提案する。
論文 参考訳(メタデータ) (2023-12-15T06:46:45Z) - VULNERLIZER: Cross-analysis Between Vulnerabilities and Software
Libraries [4.2755847332268235]
VULNERLIZERは脆弱性とソフトウェアライブラリ間のクロス分析のための新しいフレームワークである。
CVEとソフトウェアライブラリのデータとクラスタリングアルゴリズムを使用して、脆弱性とライブラリ間のリンクを生成する。
トレーニングされたモデルは、75%以上の予測精度に達する。
論文 参考訳(メタデータ) (2023-09-18T10:34:47Z) - Using Machine Learning To Identify Software Weaknesses From Software
Requirement Specifications [49.1574468325115]
本研究は、要求仕様からソフトウェア弱点を特定するための効率的な機械学習アルゴリズムを見つけることに焦点を当てる。
ProMISE_exp. Naive Bayes、サポートベクターマシン(SVM)、決定木、ニューラルネットワーク、畳み込みニューラルネットワーク(CNN)アルゴリズムをテストした。
論文 参考訳(メタデータ) (2023-08-10T13:19:10Z) - Towards a Fair Comparison and Realistic Design and Evaluation Framework
of Android Malware Detectors [63.75363908696257]
一般的な評価フレームワークを用いて,Androidのマルウェア検出に関する10の研究成果を分析した。
データセットの作成やデザイナの設計に考慮しない場合、トレーニングされたMLモデルに大きく影響する5つの要因を特定します。
その結果,MLに基づく検出器は楽観的に評価され,良好な結果が得られた。
論文 参考訳(メタデータ) (2022-05-25T08:28:08Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。