論文の概要: Multilevel Semantic Embedding of Software Patches: A Fine-to-Coarse Grained Approach Towards Security Patch Detection

• arxiv url: http://arxiv.org/abs/2308.15233v1
• Date: Tue, 29 Aug 2023 11:41:21 GMT
• ステータス: 処理完了
• システム内更新日: 2023-10-23 12:05:17.663036
• Title: Multilevel Semantic Embedding of Software Patches: A Fine-to-Coarse Grained Approach Towards Security Patch Detection
• Title（参考訳）: ソフトウェアパッチのマルチレベルセマンティック埋め込み:セキュリティパッチ検出のための微粒化アプローチ
• Authors: Xunzhu Tang and zhenghan Chen and Saad Ezzini and Haoye Tian and Yewei Song and Jacques Klein and Tegawende F. Bissyande
• Abstract要約: セキュリティパッチ検出のためのマルチレベルセマンティックエンベッドダ(MultiSEM)を提案する。 このモデルは、単語中心のベクトルをきめ細かいレベルで利用し、個々の単語の重要性を強調する。 我々は、この表現をさらに強化し、パッチ記述を同化して、全体論的なセマンティック・ポートレートを得る。
• 参考スコア（独自算出の注目度）: 6.838615442552715
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: The growth of open-source software has increased the risk of hidden vulnerabilities that can affect downstream software applications. This concern is further exacerbated by software vendors' practice of silently releasing security patches without explicit warnings or common vulnerability and exposure (CVE) notifications. This lack of transparency leaves users unaware of potential security threats, giving attackers an opportunity to take advantage of these vulnerabilities. In the complex landscape of software patches, grasping the nuanced semantics of a patch is vital for ensuring secure software maintenance. To address this challenge, we introduce a multilevel Semantic Embedder for security patch detection, termed MultiSEM. This model harnesses word-centric vectors at a fine-grained level, emphasizing the significance of individual words, while the coarse-grained layer adopts entire code lines for vector representation, capturing the essence and interrelation of added or removed lines. We further enrich this representation by assimilating patch descriptions to obtain a holistic semantic portrait. This combination of multi-layered embeddings offers a robust representation, balancing word complexity, understanding code-line insights, and patch descriptions. Evaluating MultiSEM for detecting patch security, our results demonstrate its superiority, outperforming state-of-the-art models with promising margins: a 22.46\% improvement on PatchDB and a 9.21\% on SPI-DB in terms of the F1 metric.
• Abstract（参考訳）: オープンソースソフトウェアの成長は、下流のソフトウェアアプリケーションに影響を与える隠れた脆弱性のリスクを高めている。 この懸念は、明示的な警告やcve(common vulnerability and exposure)通知なしで静かにセキュリティパッチをリリースするというソフトウェアベンダのプラクティスによってさらに悪化する。 この透明性の欠如により、ユーザはセキュリティ上の脅威を知らず、攻撃者がこれらの脆弱性を利用する機会を与える。 ソフトウェアパッチの複雑な状況では、パッチの微妙なセマンティクスの把握が、セキュアなソフトウェアメンテナンスの確保に不可欠である。 この課題に対処するために,MultiSEMと呼ばれるセキュリティパッチ検出のためのマルチレベルセマンティックエンベッドダを導入する。 このモデルは、単語中心のベクトルをきめ細かいレベルで利用し、個々の単語の重要性を強調する一方で、粗い粒度の層はベクトル表現に全コード行を採用し、追加または削除された行の本質と相互関係を捉えている。 我々は、この表現をさらに強化し、パッチ記述を同化して、全体論的セマンティック・ポートレートを得る。 この多層埋め込みの組み合わせは、堅牢な表現、単語の複雑さのバランス、コードラインの洞察の理解、パッチ記述を提供する。 本研究では,パッチセキュリティ検出のためのマルチセムの評価を行い,その優位性を実証し,パッチdbでは22.46\%,spi-dbでは9.21\%,f1メトリクスでは9.46\%と有望なマージンを示した。

関連論文リスト

• Fixing Security Vulnerabilities with AI in OSS-Fuzz [9.730566646484304]
  OSS-Fuzzは、オープンソースシステムの継続的な検証のための最も重要で広く使用されているインフラである。 セキュリティ脆弱性を修正するために、よく知られたAutoCodeRoverエージェントをカスタマイズします。 OSS-Fuzz脆弱性データを用いた経験から,LSMエージェントの自律性はセキュリティパッチの成功に有用であることがわかった。
  論文  参考訳（メタデータ） (2024-11-03T16:20:32Z)
• Learning Graph-based Patch Representations for Identifying and Assessing Silent Vulnerability Fixes [5.983725940750908]
  ソフトウェアプロジェクトは多くのサードパーティのライブラリに依存しているため、リスクの高い脆弱性は依存関係チェーンを通じて下流のプロジェクトへと伝播する可能性がある。 無力な脆弱性修正は、ダウンストリームソフトウェアが緊急のセキュリティ問題にタイムリーに気付いておらず、ソフトウェアにセキュリティリスクを生じさせる。 本稿ではGRAphベースのパッチrEpresentationであるGRAPEを提案する。
  論文  参考訳（メタデータ） (2024-09-13T03:23:11Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• White-box Multimodal Jailbreaks Against Large Vision-Language Models [61.97578116584653]
  本稿では,テキストと画像のモダリティを併用して,大規模視覚言語モデルにおけるより広範な脆弱性のスペクトルを利用する,より包括的戦略を提案する。 本手法は,テキスト入力がない場合に,逆画像プレフィックスをランダムノイズから最適化し,有害な応答を多様に生成することから始める。 様々な有害な指示に対する肯定的な反応を誘発する確率を最大化するために、対向テキスト接頭辞を、対向画像接頭辞と統合し、共最適化する。
  論文  参考訳（メタデータ） (2024-05-28T07:13:30Z)
• Towards Comprehensive and Efficient Post Safety Alignment of Large Language Models via Safety Patching [77.36097118561057]
  textscSafePatchingは包括的で効率的なPSAのための新しいフレームワークである。 textscSafePatchingはベースラインメソッドよりも包括的で効率的なPSAを実現する。
  論文  参考訳（メタデータ） (2024-05-22T16:51:07Z)
• Defending Large Language Models against Jailbreak Attacks via Semantic Smoothing [107.97160023681184]
  適応型大規模言語モデル(LLM)は、ジェイルブレイク攻撃に対して脆弱である。 提案するSEMANTICSMOOTHは,与えられた入力プロンプトのセマンティック変換されたコピーの予測を集約するスムージングベースのディフェンスである。
  論文  参考訳（メタデータ） (2024-02-25T20:36:03Z)
• Just-in-Time Detection of Silent Security Patches [7.840762542485285]
  セキュリティパッチは黙秘される可能性がある。つまり、CVEのような包括的なアドバイザリを常に備えているわけではない。 この透明性の欠如により、ユーザーは利用可能なセキュリティアップデートを気にせず、攻撃者が未パッチの脆弱性を悪用する十分な機会を提供する。 本稿では,大規模言語モデル(LLM)を活用して,生成されたコード変更説明を用いてパッチ情報を拡張することを提案する。
  論文  参考訳（メタデータ） (2023-12-02T22:53:26Z)
• CompVPD: Iteratively Identifying Vulnerability Patches Based on Human Validation Results with a Precise Context [16.69634193308039]
  パッチの通知が不完全で遅延することが多いため、オープンソースソフトウェアにタイムリーにセキュリティパッチを適用するのは難しい。 本稿では,パッチに関連するコードを正確に識別する多粒度スライシングアルゴリズムと適応拡張アルゴリズムを提案する。 脆弱性の特定には、CompVPDと4つのSOTA(State-of-the-art/practice)アプローチを実証的に比較する。
  論文  参考訳（メタデータ） (2023-10-04T02:08:18Z)
• Segment and Complete: Defending Object Detectors against Adversarial Patch Attacks with Robust Patch Detection [142.24869736769432]
  敵のパッチ攻撃は最先端の物体検出器に深刻な脅威をもたらす。 パッチ攻撃に対して物体検出器を防御するフレームワークであるSegment and Complete Defense (SAC)を提案する。 SACは、物理的パッチ攻撃の標的攻撃成功率を著しく低減できることを示す。
  論文  参考訳（メタデータ） (2021-12-08T19:18:48Z)
• Software Vulnerability Detection via Deep Learning over Disaggregated Code Graph Representation [57.92972327649165]
  この研究は、コードコーパスから安全でないパターンを自動的に学習するためのディープラーニングアプローチを探求する。 コードには解析を伴うグラフ構造が自然に認められるため,プログラムの意味的文脈と構造的規則性の両方を利用する新しいグラフニューラルネットワーク(GNN)を開発する。
  論文  参考訳（メタデータ） (2021-09-07T21:24:36Z)
• Multi-context Attention Fusion Neural Network for Software Vulnerability Identification [4.05739885420409]
  ソースコードのセキュリティ脆弱性の共通カテゴリのいくつかを効率的に検出することを学ぶディープラーニングモデルを提案する。 モデルは、学習可能なパラメータの少ないコードセマンティクスの正確な理解を構築します。 提案したAIは、ベンチマークされたNIST SARDデータセットから特定のCWEに対して98.40%のF1スコアを達成する。
  論文  参考訳（メタデータ） (2021-04-19T11:50:36Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。