論文の概要: StaticFixer: From Static Analysis to Static Repair

• arxiv url: http://arxiv.org/abs/2307.12465v1
• Date: Mon, 24 Jul 2023 01:29:21 GMT
• ステータス: 処理完了
• システム内更新日: 2023-10-23 16:30:47.749195
• Title: StaticFixer: From Static Analysis to Static Repair
• Title（参考訳）: StaticFixer:静的解析から静的修復へ
• Authors: Naman Jain, Shubham Gandhi, Atharv Sonwane, Aditya Kanade, Nagarajan Natarajan, Suresh Parthasarathy, Sriram Rajamani, and Rahul Sharma
• Abstract要約: 静的解析ツールは、プロパティに反するプログラムの摂動に使用できることを示す。 本稿では,情報フローの脆弱性を自動的に修復するsysnameというシステムを提案する。 sysnameはオープンソースのJavaScriptレポジトリから数百の脆弱性を修復することに成功した。
• 参考スコア（独自算出の注目度）: 8.867712947093173
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Static analysis tools are traditionally used to detect and flag programs that violate properties. We show that static analysis tools can also be used to perturb programs that satisfy a property to construct variants that violate the property. Using this insight we can construct paired data sets of unsafe-safe program pairs, and learn strategies to automatically repair property violations. We present a system called \sysname, which automatically repairs information flow vulnerabilities using this approach. Since information flow properties are non-local (both to check and repair), \sysname also introduces a novel domain specific language (DSL) and strategy learning algorithms for synthesizing non-local repairs. We use \sysname to synthesize strategies for repairing two types of information flow vulnerabilities, unvalidated dynamic calls and cross-site scripting, and show that \sysname successfully repairs several hundred vulnerabilities from open source {\sc JavaScript} repositories, outperforming neural baselines built using {\sc CodeT5} and {\sc Codex}. Our datasets can be downloaded from \url{http://aka.ms/StaticFixer}.
• Abstract（参考訳）: 静的解析ツールは伝統的にプロパティに違反したプログラムの検出とフラグに使用される。 静的解析ツールは、プロパティを満たすプログラムを摂動させ、プロパティに反する変種を構築するためにも使用できることを示す。 この洞察を用いて、安全でないプログラムペアのペアデータセットを構築し、プロパティ違反を自動的に修復する戦略を学ぶことができる。 このアプローチを用いて情報フローの脆弱性を自動的に修復するシステムである。 情報フロー特性は(チェックと修復の両方のために)非ローカルなので、新しいドメイン固有言語(dsl)と非ローカル修復を合成するための戦略学習アルゴリズムも導入している。 当社では,2種類の情報フロー脆弱性の修復戦略,無効な動的呼び出しとクロスサイトスクリプティングを合成するために,‘sysname’を使用して,オープンソースの.sc JavaScript}レポジトリから数百の脆弱性の修復に成功したことを示す。 データセットは \url{http://aka.ms/StaticFixer} からダウンロードできます。

関連論文リスト

• Enhancing Source Code Security with LLMs: Demystifying The Challenges and Generating Reliable Repairs [3.2645602916600835]
  textttSecRepair は命令ベースのLarge Language Models (LLMs) システムで、テキスト化、textitdescribe 、および自動 textitrepair 脆弱性のあるソースコードを自動的にテキスト化するように設計されている。 textttSecRepairは、強化学習ベースの微調整とセマンティック報酬を使用して、生成されたコードの機能とセキュリティ面に対処する。
  論文  参考訳（メタデータ） (2024-09-01T00:41:40Z)
• Scaling Symbolic Execution to Large Software Systems [0.0]
  シンボル実行は、プログラム検証とバグ検出ソフトウェアの両方で使用される一般的な静的解析手法である。 我々は、Clang Static Analyzerと呼ばれるエラー検出フレームワークと、その周辺に構築されたインフラストラクチャーであるCodeCheckerに焦点を当てた。
  論文  参考訳（メタデータ） (2024-08-04T02:54:58Z)
• NAVRepair: Node-type Aware C/C++ Code Vulnerability Repair [14.152755184229374]
  NAVRepairは、ASTから抽出されたノードタイプ情報とエラータイプを組み合わせた、新しいフレームワークである。 既存のLLMベースのC/C++脆弱性修復法と比較して26%高い精度を実現している。
  論文  参考訳（メタデータ） (2024-05-08T11:58:55Z)
• Detecting Security-Relevant Methods using Multi-label Machine Learning [3.2673790030216794]
  Dev-AssistはIntelliJ IDEAプラグインで、マルチラベル機械学習アプローチを使用してセキュリティ関連メソッドを検出する。 静的解析ツールの設定を自動的に生成し、静的解析を実行し、IntelliJ IDEAで結果を表示することができる。 我々の実験によると、Dev-Assistの機械学習アプローチは、関連するアプローチよりもF1-Measureが高い。
  論文  参考訳（メタデータ） (2024-03-12T10:38:54Z)
• HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
  信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。 低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。 私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
  論文  参考訳（メタデータ） (2024-01-17T00:56:23Z)
• Patch Space Exploration using Static Analysis Feedback [8.13782364161157]
  静的解析を利用して、メモリの安全性問題を自動的に修復する方法を示す。 提案したアプローチは、バグを修正するためのパッチの近さを検査することで、望ましいパッチが何であるかを学習する。 我々は,印字ヒープに対する影響に応じて等価パッチのクラスを作成し,そのクラスのパッチ等価度に対してのみ検証オラクルを呼び出すことにより,修復をスケーラブルにする。
  論文  参考訳（メタデータ） (2023-08-01T05:22:10Z)
• The Dark Side of AutoML: Towards Architectural Backdoor Search [49.16544351888333]
  EVASはNASを利用した新たな攻撃で、固有のバックドアを持つニューラルネットワークを見つけ出し、入力認識トリガを使用してそのような脆弱性を悪用する。 EVASは高い回避性、転送可能性、堅牢性を特徴とし、敵の設計スペクトルを拡大する。 この研究は、NASの現在の実践に対する懸念を高め、効果的な対策を開発するための潜在的方向性を示す。
  論文  参考訳（メタデータ） (2022-10-21T18:13:23Z)
• Few-Shot Backdoor Attacks on Visual Object Tracking [80.13936562708426]
  視覚オブジェクト追跡(VOT)は、自律運転やインテリジェント監視システムなど、ミッションクリティカルなアプリケーションで広く採用されている。 学習過程の調整により,隠れたバックドアをVOTモデルに容易に埋め込むことができることを示す。 我々の攻撃は潜在的な防御に耐性があることを示し、潜在的なバックドア攻撃に対するVOTモデルの脆弱性を強調します。
  論文  参考訳（メタデータ） (2022-01-31T12:38:58Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)
• Software Vulnerability Detection via Deep Learning over Disaggregated Code Graph Representation [57.92972327649165]
  この研究は、コードコーパスから安全でないパターンを自動的に学習するためのディープラーニングアプローチを探求する。 コードには解析を伴うグラフ構造が自然に認められるため,プログラムの意味的文脈と構造的規則性の両方を利用する新しいグラフニューラルネットワーク(GNN)を開発する。
  論文  参考訳（メタデータ） (2021-09-07T21:24:36Z)
• D2A: A Dataset Built for AI-Based Vulnerability Detection Methods Using Differential Analysis [55.15995704119158]
  静的解析ツールによって報告されたラベル問題に対する差分解析に基づくアプローチであるD2Aを提案する。 D2Aを使用して大きなラベル付きデータセットを生成し、脆弱性識別のためのモデルをトレーニングします。
  論文  参考訳（メタデータ） (2021-02-16T07:46:53Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。