論文の概要: A Novel Approach to Identify Security Controls in Source Code
- arxiv url: http://arxiv.org/abs/2307.05605v1
- Date: Mon, 10 Jul 2023 21:14:39 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-23 17:43:44.279591
- Title: A Novel Approach to Identify Security Controls in Source Code
- Title(参考訳): ソースコード中のセキュリティ制御を識別する新しいアプローチ
- Authors: Ahmet Okutan, Ali Shokri, Viktoria Koscinski, Mohamad Fazelinia, Mehdi
Mirakhorli
- Abstract要約: 本稿では,一般的なセキュリティ制御の包括的リストを列挙し,それぞれにデータセットを作成する。
最新のNLP技術であるBERT(Bidirectional Representations from Transformers)とTactic Detector(Tactic Detector)を使って、セキュリティコントロールを高い信頼性で識別できることを示しています。
- 参考スコア(独自算出の注目度): 4.598579706242066
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Secure by Design has become the mainstream development approach ensuring that
software systems are not vulnerable to cyberattacks. Architectural security
controls need to be carefully monitored over the software development life
cycle to avoid critical design flaws. Unfortunately, functional requirements
usually get in the way of the security features, and the development team may
not correctly address critical security requirements. Identifying
tactic-related code pieces in a software project enables an efficient review of
the security controls' implementation as well as a resilient software
architecture. This paper enumerates a comprehensive list of commonly used
security controls and creates a dataset for each one of them by pulling related
and unrelated code snippets from the open API of the StackOverflow question and
answer platform. It uses the state-of-the-art NLP technique Bidirectional
Encoder Representations from Transformers (BERT) and the Tactic Detector from
our prior work to show that code pieces that implement security controls could
be identified with high confidence. The results show that our model trained on
tactic-related and unrelated code snippets derived from StackOverflow is able
to identify tactic-related code pieces with F-Measure values above 0.9.
- Abstract(参考訳): セキュリティ・バイ・デザイン(Secure by Design)は、ソフトウェアシステムがサイバー攻撃に弱いことを保証する主要な開発手法となっている。
設計上の重大な欠陥を避けるためには,アーキテクチャ上のセキュリティコントロールを,ソフトウェア開発ライフサイクル上で注意深く監視する必要がある。
残念なことに、機能要件は通常セキュリティ機能の邪魔をし、開発チームは重要なセキュリティ要件に正しく対処できない可能性がある。
ソフトウェアプロジェクトで戦術関連コードを識別することで、セキュリティコントロールの実装の効率的なレビューとレジリエントなソフトウェアアーキテクチャが可能になる。
本稿では,StackOverflowのQ&AプラットフォームのオープンAPIから,関連するコードスニペットと無関係のコードスニペットを抽出して,一般的に使用されているセキュリティコントロールの包括的なリストを列挙する。
最新のNLP技術であるBERT(Bidirectional Encoder Representations from Transformers)とTactic Detectorを使って、セキュリティコントロールを実装するコード片を高い信頼性で識別できることを示しています。
その結果、stackoverflowから派生した戦術関連コードスニペットと非関連コードスニペットをトレーニングしたモデルでは、f-measure値が0.9以上の戦術関連コードピースを識別できることがわかった。
関連論文リスト
- GNN-Based Code Annotation Logic for Establishing Security Boundaries in C Code [41.10157750103835]
今日の相互接続されたソフトウェアランドスケープにおけるセンシティブなオペレーションの確保は、非常に難しいものです。
現代のプラットフォームは、セキュリティに敏感なコードをメインシステムから分離するために、Trusted Execution Environments (TEEs) に依存している。
Code Logic(CAL)は、TEE分離のためのセキュリティに敏感なコンポーネントを自動的に識別する先駆的なツールである。
論文 参考訳(メタデータ) (2024-11-18T13:40:03Z) - HexaCoder: Secure Code Generation via Oracle-Guided Synthetic Training Data [60.75578581719921]
大規模言語モデル(LLM)は、自動コード生成に大きな可能性を示している。
最近の研究は、多くのLLM生成コードが深刻なセキュリティ脆弱性を含んでいることを強調している。
我々は,LLMがセキュアなコードを生成する能力を高めるための新しいアプローチであるHexaCoderを紹介する。
論文 参考訳(メタデータ) (2024-09-10T12:01:43Z) - An LLM-Assisted Easy-to-Trigger Backdoor Attack on Code Completion Models: Injecting Disguised Vulnerabilities against Strong Detection [17.948513691133037]
我々は,コード補完モデルに基づくLLM支援バックドアアタックフレームワークであるCodeBreakerを紹介した。
悪意のあるペイロードを最小限の変換でソースコードに直接統合することで、CodeBreakerは現在のセキュリティ対策に挑戦する。
論文 参考訳(メタデータ) (2024-06-10T22:10:05Z) - A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。
本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。
実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
論文 参考訳(メタデータ) (2024-01-19T14:52:04Z) - LLM-Powered Code Vulnerability Repair with Reinforcement Learning and
Semantic Reward [3.729516018513228]
我々は,大規模な言語モデルであるCodeGen2を利用した多目的コード脆弱性解析システム texttSecRepair を導入する。
そこで本研究では,LLMを用いた脆弱性解析に適した命令ベースデータセットを提案する。
GitHub上の6つのオープンソースIoTオペレーティングシステムにおいて、ゼロデイとNデイの脆弱性を特定します。
論文 参考訳(メタデータ) (2024-01-07T02:46:39Z) - Finding Software Vulnerabilities in Open-Source C Projects via Bounded
Model Checking [2.9129603096077332]
我々は,汎用ソフトウェアシステムの脆弱性を効果的に検出できる境界モデル検査手法を提唱する。
我々は,最先端の有界モデルチェッカーを用いて,大規模ソフトウェアシステムを検証する手法を開発し,評価した。
論文 参考訳(メタデータ) (2023-11-09T11:25:24Z) - CodeLMSec Benchmark: Systematically Evaluating and Finding Security
Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。
これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。
この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
論文 参考訳(メタデータ) (2023-02-08T11:54:07Z) - Recursively Feasible Probabilistic Safe Online Learning with Control Barrier Functions [60.26921219698514]
CBFをベースとした安全クリティカルコントローラのモデル不確実性を考慮した再構成を提案する。
次に、結果の安全制御器のポイントワイズ実現可能性条件を示す。
これらの条件を利用して、イベントトリガーによるオンラインデータ収集戦略を考案する。
論文 参考訳(メタデータ) (2022-08-23T05:02:09Z) - "Yeah, it does have a...Windows `98 Vibe'': Usability Study of Security
Features in Programmable Logic Controllers [19.08543677650948]
Programmable Logic Controllers (PLC) の設定ミスはしばしばインターネットに公開される。
PLC接続構成と2つのキーセキュリティ機構のユーザビリティについて検討する。
未知のラベルやレイアウト、誤解を招く用語を用いることで、すでに複雑なプロセスが悪化することがわかった。
論文 参考訳(メタデータ) (2022-08-04T07:20:00Z) - Safe RAN control: A Symbolic Reinforcement Learning Approach [62.997667081978825]
本稿では,無線アクセスネットワーク(RAN)アプリケーションの安全管理のためのシンボル強化学習(SRL)アーキテクチャを提案する。
我々は、ユーザが所定のセルネットワークトポロジに対して高レベルの論理的安全性仕様を指定できる純粋に自動化された手順を提供する。
ユーザがシステムに意図仕様を設定するのを支援するために開発されたユーザインターフェース(UI)を導入し、提案するエージェントの動作の違いを検査する。
論文 参考訳(メタデータ) (2021-06-03T16:45:40Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。