論文の概要: Vulnerable Source Code Detection using SonarCloud Code Analysis
- arxiv url: http://arxiv.org/abs/2307.02446v1
- Date: Wed, 5 Jul 2023 17:15:15 GMT
- ステータス: 処理完了
- システム内更新日: 2023-07-06 12:45:00.750197
- Title: Vulnerable Source Code Detection using SonarCloud Code Analysis
- Title(参考訳): SonarCloudコード解析を用いた脆弱性ソースコード検出
- Authors: Alifia Puspaningrum, Muhammad Anis Al Hilmi, Darsih, Muhamad
Mustamiin, Maulana Ilham Ginanjar
- Abstract要約: 脆弱性検出により、誤警告の数を減らすことができる。
UMIアプリケーションのための機械学習ベースのソフトウェア脆弱性検出装置を作成するために、これらのメトリクスの適合性を分析する。
実験の結果,3,285個の脆弱なルールが検出された。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: In Software Development Life Cycle (SDLC), security vulnerabilities are one
of the points introduced during the construction stage. Failure to detect
software defects earlier after releasing the product to the market causes
higher repair costs for the company. So, it decreases the company's reputation,
violates user privacy, and causes an unrepairable issue for the application.
The introduction of vulnerability detection enables reducing the number of
false alerts to focus the limited testing efforts on potentially vulnerable
files. UMKM Masa Kini (UMI) is a Point of Sales application to sell any Micro,
Small, and Medium Enterprises Product (UMKM). Therefore, in the current work,
we analyze the suitability of these metrics to create Machine Learning based
software vulnerability detectors for UMI applications. Code is generated using
a commercial tool, SonarCloud. Experimental result shows that there are 3,285
vulnerable rules detected.
- Abstract(参考訳): ソフトウェア開発ライフサイクル(sdlc)では、セキュリティ脆弱性は建設段階で導入されたポイントの1つです。
製品を市場にリリースした後、ソフトウェアの欠陥を早期に検出できないと、会社の修理コストが高くなる。
したがって、それは会社の評判を低下させ、ユーザーのプライバシーを侵害し、アプリケーションの不当な問題を引き起こす。
脆弱性検出の導入により、偽の警告の数を減らすことで、潜在的に脆弱なファイルに限定的なテスト作業に集中することができる。
UMKM Masa Kini (UMI)は、マイクロ、スモール、ミディアムエンタープライズ製品(UMKM)を販売するための販売ポイントアプリケーションである。
そこで,本研究では,これらのメトリクスの適合性を分析し,機械学習に基づくソフトウェア脆弱性検出手法を提案する。
コードは商用ツールであるSonarCloudを使って生成される。
実験の結果、3,285の脆弱なルールが検出された。
関連論文リスト
- Software Vulnerability and Functionality Assessment using LLMs [0.8057006406834466]
我々は,Large Language Models (LLMs) がコードレビューに役立つかどうかを検討する。
我々の調査は、良質なレビューに欠かせない2つの課題に焦点を当てている。
論文 参考訳(メタデータ) (2024-03-13T11:29:13Z) - The Vulnerability Is in the Details: Locating Fine-grained Information
of Vulnerable Code Identified by Graph-based Detectors [39.01486277170386]
VULEXPLAINERは、粗いレベルの脆弱なコードスニペットから脆弱性クリティカルなコード行を見つけるためのツールである。
C/C++の一般的な8つの脆弱性に対して、90%の精度で脆弱性をトリガするコードステートメントにフラグを付けることができる。
論文 参考訳(メタデータ) (2024-01-05T10:15:04Z) - SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。
SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。
我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
論文 参考訳(メタデータ) (2023-09-26T08:11:38Z) - SecureFalcon: The Next Cyber Reasoning System for Cyber Security [1.0700114817489723]
本稿では,FalconLLM上に構築された革新的なモデルアーキテクチャであるSecureFalconを紹介する。
SecureFalconは、脆弱性のあるCコードのサンプルと非脆弱性なCコードのサンプルを区別するように訓練されている。
我々は、その性能を評価するために、生成人工知能(AI)によって構築された新しいトレーニングデータセット、FormAIを構築した。
論文 参考訳(メタデータ) (2023-07-13T08:34:09Z) - Transformer-based Vulnerability Detection in Code at EditTime:
Zero-shot, Few-shot, or Fine-tuning? [5.603751223376071]
脆弱性のあるコードパターンの大規模データセットにディープラーニングを活用する実用的なシステムを提案する。
美術品の脆弱性検出モデルと比較すると,我々の手法は工芸品の状態を10%改善する。
論文 参考訳(メタデータ) (2023-05-23T01:21:55Z) - CodeLMSec Benchmark: Systematically Evaluating and Finding Security
Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。
これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。
この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
論文 参考訳(メタデータ) (2023-02-08T11:54:07Z) - Fault-Aware Neural Code Rankers [64.41888054066861]
サンプルプログラムの正しさを予測できる故障認識型ニューラルネットワークローダを提案する。
我々のフォールト・アウェア・ローダは、様々なコード生成モデルのpass@1精度を大幅に向上させることができる。
論文 参考訳(メタデータ) (2022-06-04T22:01:05Z) - SUPERNOVA: Automating Test Selection and Defect Prevention in AAA Video
Games Using Risk Based Testing and Machine Learning [62.997667081978825]
従来の手法では、成長するソフトウェアシステムではスケールできないため、ビデオゲームのテストはますます難しいタスクになります。
自動化ハブとして機能しながら,テスト選択と欠陥防止を行うシステム SUPERNOVA を提案する。
この直接的な影響は、未公表のスポーツゲームタイトルの55%以上のテスト時間を減らすことが観察されている。
論文 参考訳(メタデータ) (2022-03-10T00:47:46Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - Mate! Are You Really Aware? An Explainability-Guided Testing Framework
for Robustness of Malware Detectors [49.34155921877441]
マルウェア検出装置のロバスト性を示すための説明可能性誘導型およびモデルに依存しないテストフレームワークを提案する。
次に、このフレームワークを使用して、操作されたマルウェアを検出する最先端のマルウェア検知器の能力をテストする。
我々の発見は、現在のマルウェア検知器の限界と、その改善方法に光を当てた。
論文 参考訳(メタデータ) (2021-11-19T08:02:38Z) - Multi-context Attention Fusion Neural Network for Software Vulnerability
Identification [4.05739885420409]
ソースコードのセキュリティ脆弱性の共通カテゴリのいくつかを効率的に検出することを学ぶディープラーニングモデルを提案する。
モデルは、学習可能なパラメータの少ないコードセマンティクスの正確な理解を構築します。
提案したAIは、ベンチマークされたNIST SARDデータセットから特定のCWEに対して98.40%のF1スコアを達成する。
論文 参考訳(メタデータ) (2021-04-19T11:50:36Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。