論文の概要: Identifying Vulnerable Third-Party Libraries from Textual Descriptions of Vulnerabilities and Libraries

• arxiv url: http://arxiv.org/abs/2307.08206v2
• Date: Wed, 9 Aug 2023 01:58:57 GMT
• ステータス: 処理完了
• システム内更新日: 2023-10-23 17:24:14.623951
• Title: Identifying Vulnerable Third-Party Libraries from Textual Descriptions of Vulnerabilities and Libraries
• Title（参考訳）: 脆弱性とライブラリのテキスト記述から脆弱なサードパーティライブラリを特定する
• Authors: Tianyu Chen, Lin Li, Bingjie Shan, Guangtai Liang, Ding Li, Qianxiang Wang, Tao Xie
• Abstract要約: VulLibMinerは、脆弱性とライブラリの両方のテキスト記述から、脆弱性のあるライブラリを最初に識別する。 VulLibMinerの評価には,VeraJavaというデータセットと当社のVulLibデータセットの両方で脆弱性のあるライブラリを識別する,最先端/実践の4つのアプローチを用いる。
• 参考スコア（独自算出の注目度）: 15.573551625937556
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: To address security vulnerabilities arising from third-party libraries, security researchers maintain databases monitoring and curating vulnerability reports, e.g., the National Vulnerability Database (NVD). Application developers can identify vulnerable libraries by directly querying the databases with the name of each used library. However, the querying results of vulnerable libraries are not reliable due to the incompleteness of vulnerability reports. Thus, current approaches model the task of identifying vulnerable libraries as a named-entity-recognition (NER) task or an extreme multi-label learning (XML) task. These approaches suffer from highly inaccurate results and cannot identify zero-shot libraries (i.e., those not appearing during model training). To address these limitations, in this paper, we propose VulLibMiner, the first to identify vulnerable libraries from textual descriptions of both vulnerabilities and libraries, together with VulLib, a Java vulnerability dataset with their affected libraries. VulLibMiner consists of a TF-IDF matcher to efficiently screen out a small set of candidate libraries and a BERT-FNN model to identify vulnerable libraries from these candidates effectively. We evaluate VulLibMiner using four state-of-the-art/practice approaches of identifying vulnerable libraries on both their dataset named VeraJava and our VulLib dataset. Our evaluation results show that VulLibMiner can effectively identify vulnerable libraries with an average F1 score of 0.561 while the state-of-the-art/practice approaches achieve only 0.377.
• Abstract（参考訳）: サードパーティライブラリから発生するセキュリティ脆弱性に対処するため、セキュリティ研究者はデータベースの監視と脆弱性レポートのキュレーション、例えばnational vulnerability database(nvd)を継続する。 アプリケーション開発者は、使用するライブラリの名前でデータベースを直接クエリすることで、脆弱なライブラリを識別できる。 しかしながら,脆弱性レポートの不完全性から,脆弱なライブラリのクエリ結果は信頼性に欠ける。 したがって、現在のアプローチは、脆弱なライブラリを名前付き認識(NER)タスクまたは極端なマルチラベル学習(XML)タスクとして識別するタスクをモデル化している。 これらのアプローチは、非常に不正確な結果に苦しめられ、ゼロショットライブラリ(すなわち、モデルトレーニング中に現れないライブラリ)を識別できない。 本稿では、脆弱性とライブラリの両方のテキスト記述から脆弱性のあるライブラリを最初に識別するVulLibMinerと、影響を受けるライブラリのJava脆弱性データセットであるVulLibを提案する。 VulLibMinerはTF-IDFマーカで、少数の候補ライブラリを効率的にスクリーニングし、BERT-FNNモデルでこれらの候補ライブラリを効果的に識別する。 verajava という名のデータセットと vullib データセットの両方で脆弱なライブラリを識別する 4 つの最先端/プラクティスアプローチを用いて vullibminer を評価した。 評価の結果,vullibminerは平均的なf1スコア0.561の脆弱なライブラリを効果的に識別できることがわかった。

関連論文リスト

• Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
  Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。 35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。 ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
  論文  参考訳（メタデータ） (2024-11-12T01:55:51Z)
• Unit Test Generation for Vulnerability Exploitation in Java Third-Party Libraries [10.78078711790757]
  VULEUTは、クライアントソフトウェアプロジェクトで一般的に使用されているサードパーティ製ライブラリの脆弱性の悪用を自動検証するように設計されている。 VULEUTはまず、脆弱性条件の到達可能性を決定するためにクライアントプロジェクトを分析する。 次に、Large Language Model (LLM)を活用して、脆弱性確認のためのユニットテストを生成する。
  論文  参考訳（メタデータ） (2024-09-25T07:47:01Z)
• HexaCoder: Secure Code Generation via Oracle-Guided Synthetic Training Data [60.75578581719921]
  大規模言語モデル(LLM)は、自動コード生成に大きな可能性を示している。 最近の研究は、多くのLLM生成コードが深刻なセキュリティ脆弱性を含んでいることを強調している。 我々は,LLMがセキュアなコードを生成する能力を高めるための新しいアプローチであるHexaCoderを紹介する。
  論文  参考訳（メタデータ） (2024-09-10T12:01:43Z)
• A Survey of Third-Party Library Security Research in Application Software [3.280510821619164]
  サードパーティのライブラリが広く使われるようになると、関連するセキュリティリスクと潜在的な脆弱性がますます顕在化している。 悪意のある攻撃者は、これらの脆弱性を利用してシステムに侵入したり、不正な操作を行ったり、機密情報を盗んだりすることができる。 ソフトウェアにおけるサードパーティのライブラリの研究は、この増大するセキュリティ問題に対処する上で、最重要課題となる。
  論文  参考訳（メタデータ） (2024-04-27T16:35:02Z)
• Exploiting Library Vulnerability via Migration Based Automating Test Generation [16.39796265296833]
  ソフトウェア開発において、開発者は既存の機能を実装するのを避けるためにサードパーティのライブラリを幅広く利用する。 脆弱性のエクスプロイトは、公開後に脆弱性を再現するためのコードスニペットとして、豊富な脆弱性関連情報を含んでいる。 本研究は、開発者が依存関係を更新するかどうかを判断する基盤として脆弱性エクスプロイトテストを提供するVESTAと呼ばれる、脆弱性エクスプロイトに基づく新しい手法を提案する。
  論文  参考訳（メタデータ） (2023-12-15T06:46:45Z)
• Do-Not-Answer: A Dataset for Evaluating Safeguards in LLMs [59.596335292426105]
  本稿では,大規模な言語モデルにおけるセーフガードを評価するための,最初のオープンソースデータセットを収集する。 我々は、自動安全性評価において、GPT-4に匹敵する結果を得るために、BERTライクな分類器をいくつか訓練する。
  論文  参考訳（メタデータ） (2023-08-25T14:02:12Z)
• Vulnerability Propagation in Package Managers Used in iOS Development [2.9280059958992286]
  脆弱性はよく知られたライブラリでも見られる。 Swiftエコシステムのライブラリ依存ネットワークは、CocoaPods、Carthage、Swift Package Managerのライブラリを含んでいる。 公開脆弱性が報告されているほとんどのライブラリはCで記述されているが、公開脆弱性の最も大きな影響は、ネイティブiOS言語で記述されたライブラリから来ている。
  論文  参考訳（メタデータ） (2023-05-17T16:22:38Z)
• CodeLMSec Benchmark: Systematically Evaluating and Finding Security Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
  自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。 これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。 この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
  論文  参考訳（メタデータ） (2023-02-08T11:54:07Z)
• CHRONOS: Time-Aware Zero-Shot Identification of Libraries from Vulnerability Reports [12.257538059511424]
  ゼロショット学習に基づく実用的なライブラリ識別手法であるCHRONOSを提案する。 CHRONOSの新規性は3倍である。まず、CRONOSは脆弱性レポートの時系列順序を考慮し、実用的なパイプラインに適合する。
  論文  参考訳（メタデータ） (2023-01-10T12:57:10Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)
• Autosploit: A Fully Automated Framework for Evaluating the Exploitability of Security Vulnerabilities [47.748732208602355]
  Autosploitは脆弱性の悪用性を評価するためのフレームワークだ。 環境の異なる設定でエクスプロイトを自動的にテストする。 ノイズレス環境とノイズの多い環境の両方で脆弱性を悪用する能力に影響を与えるシステムの特性を識別することができる。
  論文  参考訳（メタデータ） (2020-06-30T18:49:18Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。