論文の概要: AIBugHunter: A Practical Tool for Predicting, Classifying and Repairing
Software Vulnerabilities
- arxiv url: http://arxiv.org/abs/2305.16615v1
- Date: Fri, 26 May 2023 04:21:53 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-24 05:24:40.733188
- Title: AIBugHunter: A Practical Tool for Predicting, Classifying and Repairing
Software Vulnerabilities
- Title(参考訳): AIBugHunter: ソフトウェアの脆弱性を予測、分類、修復するための実践的なツール
- Authors: Michael Fu and Chakkrit Tantithamthavorn and Trung Le and Yuki Kume
and Van Nguyen and Dinh Phung and John Grundy
- Abstract要約: AIBugHunterは、C/C++言語用のMLベースのソフトウェア脆弱性分析ツールで、Visual Studio Codeに統合されている。
本稿では,新たな多目的最適化(MOO)に基づく脆弱性分類手法と,AIBugHunterが脆弱性タイプを正確に識別し,重症度を推定するためのトランスフォーマーに基づく評価手法を提案する。
- 参考スコア(独自算出の注目度): 27.891905729536372
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: Many ML-based approaches have been proposed to automatically detect,
localize, and repair software vulnerabilities. While ML-based methods are more
effective than program analysis-based vulnerability analysis tools, few have
been integrated into modern IDEs, hindering practical adoption. To bridge this
critical gap, we propose AIBugHunter, a novel ML-based software vulnerability
analysis tool for C/C++ languages that is integrated into Visual Studio Code.
AIBugHunter helps software developers to achieve real-time vulnerability
detection, explanation, and repairs during programming. In particular,
AIBugHunter scans through developers' source code to (1) locate
vulnerabilities, (2) identify vulnerability types, (3) estimate vulnerability
severity, and (4) suggest vulnerability repairs. In this article, we propose a
novel multi-objective optimization (MOO)-based vulnerability classification
approach and a transformer-based estimation approach to help AIBugHunter
accurately identify vulnerability types and estimate severity. Our empirical
experiments on a large dataset consisting of 188K+ C/C++ functions confirm that
our proposed approaches are more accurate than other state-of-the-art baseline
methods for vulnerability classification and estimation. Furthermore, we
conduct qualitative evaluations including a survey study and a user study to
obtain software practitioners' perceptions of our AIBugHunter tool and assess
the impact that AIBugHunter may have on developers' productivity in security
aspects. Our survey study shows that our AIBugHunter is perceived as useful
where 90% of the participants consider adopting our AIBugHunter. Last but not
least, our user study shows that our AIBugHunter could possibly enhance
developers' productivity in combating cybersecurity issues during software
development.
- Abstract(参考訳): ソフトウェアの脆弱性を自動検出、ローカライズ、修復するためのmlベースのアプローチが数多く提案されている。
MLベースのメソッドは、プログラム分析ベースの脆弱性分析ツールよりも効果的だが、現代のIDEに統合されているものはほとんどなく、実践的な採用を妨げる。
AIBugHunterは、C/C++言語用の新しいMLベースのソフトウェア脆弱性分析ツールで、Visual Studio Codeに統合されている。
AIBugHunterは、ソフトウェア開発者がプログラミング中にリアルタイムの脆弱性の検出、説明、修復を行うのを助ける。
特に、aibughunterは開発者ソースコードをスキャンして、(1)脆弱性の特定、(2)脆弱性のタイプ特定、(3)脆弱性の深刻度の推定、(4)脆弱性修復を提案する。
本稿では,多目的最適化(moo)に基づく脆弱性分類手法と,aibughunterが脆弱性タイプを正確に識別し,重大度を推定するためのトランスフォーマーに基づく推定手法を提案する。
188k+c/c++関数からなる大規模データセットに関する実証実験により,提案手法が脆弱性分類と推定のための最先端のベースライン手法よりも正確であることが確認された。
さらに,AIBugHunterツールに対するソフトウェア実践者の認識を得て,AIBugHunterがセキュリティ面における開発者の生産性に与える影響を評価するために,調査研究やユーザスタディを含む質的な評価を行う。
調査の結果,AIBugHunterは,90%の参加者がAIBugHunterの採用を検討する上で有用であることがわかった。
最後に、私たちのユーザ調査は、AIBugHunterがソフトウェア開発中にサイバーセキュリティ問題に対処する際の開発者の生産性を高める可能性があることを示しています。
関連論文リスト
- Causative Insights into Open Source Software Security using Large
Language Code Embeddings and Semantic Vulnerability Graph [3.623199159688412]
オープンソースソフトウェア(OSS)の脆弱性は、不正アクセス、データ漏洩、ネットワーク障害、プライバシー侵害を引き起こす可能性がある。
最近のディープラーニング技術は、ソースコードの脆弱性を特定し、ローカライズする上で大きな可能性を示しています。
本研究は,従来の方法に比べてコード修復能力が24%向上したことを示す。
論文 参考訳(メタデータ) (2024-01-13T10:33:22Z) - Exploiting Library Vulnerability via Migration Based Automating Test
Generation [16.39796265296833]
ソフトウェア開発において、開発者は既存の機能を実装するのを避けるためにサードパーティのライブラリを幅広く利用する。
脆弱性のエクスプロイトは、公開後に脆弱性を再現するためのコードスニペットとして、豊富な脆弱性関連情報を含んでいる。
本研究は、開発者が依存関係を更新するかどうかを判断する基盤として脆弱性エクスプロイトテストを提供するVESTAと呼ばれる、脆弱性エクスプロイトに基づく新しい手法を提案する。
論文 参考訳(メタデータ) (2023-12-15T06:46:45Z) - Enhancing Large Language Models for Secure Code Generation: A
Dataset-driven Study on Vulnerability Mitigation [24.668682498171776]
大規模言語モデル(LLM)はコード生成に大きな進歩をもたらし、初心者と経験豊富な開発者の両方に恩恵を与えている。
しかし、GitHubのようなオープンソースのリポジトリから無防備なデータを使用したトレーニングは、セキュリティ上の脆弱性を不注意に伝播するリスクをもたらす。
本稿では,ソフトウェアセキュリティの観点からのLLMの評価と拡張に焦点をあてた総合的研究について述べる。
論文 参考訳(メタデータ) (2023-10-25T00:32:56Z) - VULNERLIZER: Cross-analysis Between Vulnerabilities and Software
Libraries [4.2755847332268235]
VULNERLIZERは脆弱性とソフトウェアライブラリ間のクロス分析のための新しいフレームワークである。
CVEとソフトウェアライブラリのデータとクラスタリングアルゴリズムを使用して、脆弱性とライブラリ間のリンクを生成する。
トレーニングされたモデルは、75%以上の予測精度に達する。
論文 参考訳(メタデータ) (2023-09-18T10:34:47Z) - Using Machine Learning To Identify Software Weaknesses From Software
Requirement Specifications [49.1574468325115]
本研究は、要求仕様からソフトウェア弱点を特定するための効率的な機械学習アルゴリズムを見つけることに焦点を当てる。
ProMISE_exp. Naive Bayes、サポートベクターマシン(SVM)、決定木、ニューラルネットワーク、畳み込みニューラルネットワーク(CNN)アルゴリズムをテストした。
論文 参考訳(メタデータ) (2023-08-10T13:19:10Z) - CodeLMSec Benchmark: Systematically Evaluating and Finding Security
Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。
これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。
この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
論文 参考訳(メタデータ) (2023-02-08T11:54:07Z) - Towards a Fair Comparison and Realistic Design and Evaluation Framework
of Android Malware Detectors [63.75363908696257]
一般的な評価フレームワークを用いて,Androidのマルウェア検出に関する10の研究成果を分析した。
データセットの作成やデザイナの設計に考慮しない場合、トレーニングされたMLモデルに大きく影響する5つの要因を特定します。
その結果,MLに基づく検出器は楽観的に評価され,良好な結果が得られた。
論文 参考訳(メタデータ) (2022-05-25T08:28:08Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - Software Vulnerability Detection via Deep Learning over Disaggregated
Code Graph Representation [57.92972327649165]
この研究は、コードコーパスから安全でないパターンを自動的に学習するためのディープラーニングアプローチを探求する。
コードには解析を伴うグラフ構造が自然に認められるため,プログラムの意味的文脈と構造的規則性の両方を利用する新しいグラフニューラルネットワーク(GNN)を開発する。
論文 参考訳(メタデータ) (2021-09-07T21:24:36Z) - V2W-BERT: A Framework for Effective Hierarchical Multiclass
Classification of Software Vulnerabilities [7.906207218788341]
本稿では,Transformer-based learning framework(V2W-BERT)を提案する。
自然言語処理,リンク予測,転送学習のアイデアを用いることで,従来の手法よりも優れる。
ランダムに分割されたデータの予測精度は最大97%、一時分割されたデータの予測精度は最大94%です。
論文 参考訳(メタデータ) (2021-02-23T05:16:57Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。