論文の概要: A Novel Approach to Identify Security Controls in Source Code
- arxiv url: http://arxiv.org/abs/2307.05605v1
- Date: Mon, 10 Jul 2023 21:14:39 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-23 17:43:44.279591
- Title: A Novel Approach to Identify Security Controls in Source Code
- Title(参考訳): ソースコード中のセキュリティ制御を識別する新しいアプローチ
- Authors: Ahmet Okutan, Ali Shokri, Viktoria Koscinski, Mohamad Fazelinia, Mehdi
Mirakhorli
- Abstract要約: 本稿では,一般的なセキュリティ制御の包括的リストを列挙し,それぞれにデータセットを作成する。
最新のNLP技術であるBERT(Bidirectional Representations from Transformers)とTactic Detector(Tactic Detector)を使って、セキュリティコントロールを高い信頼性で識別できることを示しています。
- 参考スコア(独自算出の注目度): 4.598579706242066
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Secure by Design has become the mainstream development approach ensuring that
software systems are not vulnerable to cyberattacks. Architectural security
controls need to be carefully monitored over the software development life
cycle to avoid critical design flaws. Unfortunately, functional requirements
usually get in the way of the security features, and the development team may
not correctly address critical security requirements. Identifying
tactic-related code pieces in a software project enables an efficient review of
the security controls' implementation as well as a resilient software
architecture. This paper enumerates a comprehensive list of commonly used
security controls and creates a dataset for each one of them by pulling related
and unrelated code snippets from the open API of the StackOverflow question and
answer platform. It uses the state-of-the-art NLP technique Bidirectional
Encoder Representations from Transformers (BERT) and the Tactic Detector from
our prior work to show that code pieces that implement security controls could
be identified with high confidence. The results show that our model trained on
tactic-related and unrelated code snippets derived from StackOverflow is able
to identify tactic-related code pieces with F-Measure values above 0.9.
- Abstract(参考訳): セキュリティ・バイ・デザイン(Secure by Design)は、ソフトウェアシステムがサイバー攻撃に弱いことを保証する主要な開発手法となっている。
設計上の重大な欠陥を避けるためには,アーキテクチャ上のセキュリティコントロールを,ソフトウェア開発ライフサイクル上で注意深く監視する必要がある。
残念なことに、機能要件は通常セキュリティ機能の邪魔をし、開発チームは重要なセキュリティ要件に正しく対処できない可能性がある。
ソフトウェアプロジェクトで戦術関連コードを識別することで、セキュリティコントロールの実装の効率的なレビューとレジリエントなソフトウェアアーキテクチャが可能になる。
本稿では,StackOverflowのQ&AプラットフォームのオープンAPIから,関連するコードスニペットと無関係のコードスニペットを抽出して,一般的に使用されているセキュリティコントロールの包括的なリストを列挙する。
最新のNLP技術であるBERT(Bidirectional Encoder Representations from Transformers)とTactic Detectorを使って、セキュリティコントロールを実装するコード片を高い信頼性で識別できることを示しています。
その結果、stackoverflowから派生した戦術関連コードスニペットと非関連コードスニペットをトレーニングしたモデルでは、f-measure値が0.9以上の戦術関連コードピースを識別できることがわかった。
関連論文リスト
- LLM-Powered Code Vulnerability Repair with Reinforcement Learning and
Semantic Reward [3.729516018513228]
我々は,大規模な言語モデルであるCodeGen2を利用した多目的コード脆弱性解析システム texttSecRepair を導入する。
そこで本研究では,LLMを用いた脆弱性解析に適した命令ベースデータセットを提案する。
GitHub上の6つのオープンソースIoTオペレーティングシステムにおいて、ゼロデイとNデイの脆弱性を特定します。
論文 参考訳(メタデータ) (2024-01-07T02:46:39Z) - Finding Software Vulnerabilities in Open-Source C Projects via Bounded
Model Checking [2.9129603096077332]
我々は,汎用ソフトウェアシステムの脆弱性を効果的に検出できる境界モデル検査手法を提唱する。
我々は,最先端の有界モデルチェッカーを用いて,大規模ソフトウェアシステムを検証する手法を開発し,評価した。
論文 参考訳(メタデータ) (2023-11-09T11:25:24Z) - A General Verification Framework for Dynamical and Control Models via
Certificate Synthesis [60.03938402120854]
システム仕様を符号化し、対応する証明書を定義するためのフレームワークを提供する。
コントローラと証明書を形式的に合成する自動化手法を提案する。
我々のアプローチは、ニューラルネットワークの柔軟性を利用して、制御のための安全な学習の幅広い分野に寄与する。
論文 参考訳(メタデータ) (2023-09-12T09:37:26Z) - Security Defect Detection via Code Review: A Study of the OpenStack and
Qt Communities [7.2944322548786715]
セキュリティ欠陥は、コードレビューでは議論されていない。
レビューの半数以上が、開発者がセキュリティ欠陥を修正するための明確な修正戦略/ソリューションを提供しています。
開発者とレビュアーの相違は、セキュリティ欠陥を解決しない主な原因である。
論文 参考訳(メタデータ) (2023-07-05T14:30:41Z) - CodeLMSec Benchmark: Systematically Evaluating and Finding Security
Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。
これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。
この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
論文 参考訳(メタデータ) (2023-02-08T11:54:07Z) - Evaluating Model-free Reinforcement Learning toward Safety-critical
Tasks [70.76757529955577]
本稿では、国家安全RLの観点から、この領域における先行研究を再考する。
安全最適化と安全予測を組み合わせた共同手法であるUnrolling Safety Layer (USL)を提案する。
この領域のさらなる研究を容易にするため、我々は関連するアルゴリズムを統一パイプラインで再現し、SafeRL-Kitに組み込む。
論文 参考訳(メタデータ) (2022-12-12T06:30:17Z) - Recursively Feasible Probabilistic Safe Online Learning with Control
Barrier Functions [63.18590014127461]
本稿では,CBFをベースとした安全クリティカルコントローラのモデル不確実性を考慮した再構成を提案する。
本研究では,ロバストな安全クリティカルコントローラの実現可能性について検討する。
次に、これらの条件を使って、イベントトリガーによるオンラインデータ収集戦略を考案します。
論文 参考訳(メタデータ) (2022-08-23T05:02:09Z) - "Yeah, it does have a...Windows `98 Vibe'': Usability Study of Security
Features in Programmable Logic Controllers [19.08543677650948]
Programmable Logic Controllers (PLC) の設定ミスはしばしばインターネットに公開される。
PLC接続構成と2つのキーセキュリティ機構のユーザビリティについて検討する。
未知のラベルやレイアウト、誤解を招く用語を用いることで、すでに複雑なプロセスが悪化することがわかった。
論文 参考訳(メタデータ) (2022-08-04T07:20:00Z) - Safe RAN control: A Symbolic Reinforcement Learning Approach [62.997667081978825]
本稿では,無線アクセスネットワーク(RAN)アプリケーションの安全管理のためのシンボル強化学習(SRL)アーキテクチャを提案する。
我々は、ユーザが所定のセルネットワークトポロジに対して高レベルの論理的安全性仕様を指定できる純粋に自動化された手順を提供する。
ユーザがシステムに意図仕様を設定するのを支援するために開発されたユーザインターフェース(UI)を導入し、提案するエージェントの動作の違いを検査する。
論文 参考訳(メタデータ) (2021-06-03T16:45:40Z) - Multi-context Attention Fusion Neural Network for Software Vulnerability
Identification [4.05739885420409]
ソースコードのセキュリティ脆弱性の共通カテゴリのいくつかを効率的に検出することを学ぶディープラーニングモデルを提案する。
モデルは、学習可能なパラメータの少ないコードセマンティクスの正確な理解を構築します。
提案したAIは、ベンチマークされたNIST SARDデータセットから特定のCWEに対して98.40%のF1スコアを達成する。
論文 参考訳(メタデータ) (2021-04-19T11:50:36Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。