論文の概要: VFFINDER: A Graph-based Approach for Automated Silent Vulnerability-Fix
Identification
- arxiv url: http://arxiv.org/abs/2309.01971v1
- Date: Tue, 5 Sep 2023 05:55:18 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-23 09:16:41.420742
- Title: VFFINDER: A Graph-based Approach for Automated Silent Vulnerability-Fix
Identification
- Title(参考訳): VFFINDER:サイレント脆弱性の自動同定のためのグラフベースのアプローチ
- Authors: Son Nguyen, Thanh Trong Vu, and Hieu Dinh Vo
- Abstract要約: VFFINDERは、サイレント脆弱性の自動検出のためのグラフベースのアプローチである。
これは、アテンションベースのグラフニューラルネットワークモデルを使用して、脆弱性修正コミットと非修正コミットを区別する。
以上の結果から,VFFINDERの精度は39~83%,リコール率19~148%,F1では30~109%向上した。
- 参考スコア(独自算出の注目度): 4.837912059099674
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: The increasing reliance of software projects on third-party libraries has
raised concerns about the security of these libraries due to hidden
vulnerabilities. Managing these vulnerabilities is challenging due to the time
gap between fixes and public disclosures. Moreover, a significant portion of
open-source projects silently fix vulnerabilities without disclosure, impacting
vulnerability management. Existing tools like OWASP heavily rely on public
disclosures, hindering their effectiveness in detecting unknown
vulnerabilities. To tackle this problem, automated identification of
vulnerability-fixing commits has emerged. However, identifying silent
vulnerability fixes remains challenging. This paper presents VFFINDER, a novel
graph-based approach for automated silent vulnerability fix identification.
VFFINDER captures structural changes using Abstract Syntax Trees (ASTs) and
represents them in annotated ASTs. VFFINDER distinguishes vulnerability-fixing
commits from non-fixing ones using attention-based graph neural network models
to extract structural features. We conducted experiments to evaluate VFFINDER
on a dataset of 36K+ fixing and non-fixing commits in 507 real-world C/C++
projects. Our results show that VFFINDER significantly improves the
state-of-the-art methods by 39-83% in Precision, 19-148% in Recall, and 30-109%
in F1. Especially, VFFINDER speeds up the silent fix identification process by
up to 47% with the same review effort of 5% compared to the existing
approaches.
- Abstract(参考訳): サードパーティのライブラリへのソフトウェアプロジェクトの依存が高まり、隠れた脆弱性によるこれらのライブラリのセキュリティに対する懸念が高まっている。
これらの脆弱性の管理は、修正と公開開示の間の時間的ギャップのために難しい。
さらに、オープンソースプロジェクトの大部分は、公開せずに脆弱性を静かに修正し、脆弱性管理に影響を与えている。
OWASPのような既存のツールは公開公開に大きく依存しており、未知の脆弱性を検出する効果を妨げている。
この問題に対処するため、脆弱性修正コミットの自動識別が登場した。
しかし、静かな脆弱性修正を特定することは依然として難しい。
本稿では,サイレント脆弱性の自動修正のためのグラフベースアプローチであるvffinderを提案する。
VFFINDERは抽象構文木(AST)を使用して構造変化をキャプチャし、アノテーション付きASTでそれらを表現する。
VFFINDERは、アテンションベースのグラフニューラルネットワークモデルを使用して構造的特徴を抽出する、脆弱性修正コミットと非修正コミットを区別する。
実世界の507のC/C++プロジェクトで,36K以上の修正と非修正コミットのデータセット上でVFFINDERを評価する実験を行った。
以上の結果から,VFFINDERの精度は39~83%,リコール率19~148%,F1では30~109%向上した。
特に、vffinderはサイレントフィックスの識別プロセスを最大47%高速化し、既存のアプローチと比較して5%のレビュー作業を行う。
関連論文リスト
- The Vulnerability Is in the Details: Locating Fine-grained Information
of Vulnerable Code Identified by Graph-based Detectors [39.01486277170386]
VULEXPLAINERは、粗いレベルの脆弱なコードスニペットから脆弱性クリティカルなコード行を見つけるためのツールである。
C/C++の一般的な8つの脆弱性に対して、90%の精度で脆弱性をトリガするコードステートメントにフラグを付けることができる。
論文 参考訳(メタデータ) (2024-01-05T10:15:04Z) - Exploiting Library Vulnerability via Migration Based Automating Test
Generation [16.39796265296833]
ソフトウェア開発において、開発者は既存の機能を実装するのを避けるためにサードパーティのライブラリを幅広く利用する。
脆弱性のエクスプロイトは、公開後に脆弱性を再現するためのコードスニペットとして、豊富な脆弱性関連情報を含んでいる。
本研究は、開発者が依存関係を更新するかどうかを判断する基盤として脆弱性エクスプロイトテストを提供するVESTAと呼ばれる、脆弱性エクスプロイトに基づく新しい手法を提案する。
論文 参考訳(メタデータ) (2023-12-15T06:46:45Z) - ASSERT: Automated Safety Scenario Red Teaming for Evaluating the
Robustness of Large Language Models [65.79770974145983]
ASSERT、Automated Safety Scenario Red Teamingは、セマンティックなアグリゲーション、ターゲットブートストラップ、敵の知識注入という3つの方法で構成されている。
このプロンプトを4つの安全領域に分割し、ドメインがモデルの性能にどのように影響するかを詳細に分析する。
統計的に有意な性能差は, 意味的関連シナリオにおける絶対分類精度が最大11%, ゼロショット逆数設定では最大19%の絶対誤差率であることがわかった。
論文 参考訳(メタデータ) (2023-10-14T17:10:28Z) - Silent Vulnerability-fixing Commit Identification Based on Graph Neural
Networks [4.837912059099674]
VFFINDERは、サイレント脆弱性の自動検出のためのグラフベースのアプローチである。
VFFINDERは、アテンションベースのグラフニューラルネットワークモデルを使用して、脆弱性修正コミットと非修正コミットを区別する。
以上の結果から,VFFINDERは精度272-420%,リコール22-70%,F13.2X-8.2Xに改善した。
論文 参考訳(メタデータ) (2023-09-15T07:51:39Z) - Multi-Granularity Detector for Vulnerability Fixes [13.653249890867222]
脆弱性修正のためのMiDa(Multi-Granularity Detector for Vulnerability Fixes)を提案する。
MiDasはコミットレベル、ファイルレベル、ハンクレベル、ラインレベルに対応して、コード変更の粒度ごとに異なるニューラルネットワークを構築する。
MiDasは、現在の最先端のベースラインをAUCで4.9%、JavaとPythonベースのデータセットで13.7%上回っている。
論文 参考訳(メタデータ) (2023-05-23T10:06:28Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - Automated Mapping of Vulnerability Advisories onto their Fix Commits in
Open Source Repositories [7.629717457706326]
実践経験と機械学習(ML)を組み合わせたアプローチを提案する。
アドバイザリから脆弱性に関する鍵情報を含むアドバイザリレコードを抽出する。
影響を受けるプロジェクトのソースコードリポジトリから、候補となる修正コミットのサブセットを取得する。
論文 参考訳(メタデータ) (2021-03-24T17:50:35Z) - Open-set Adversarial Defense [93.25058425356694]
オープンセット認識システムは敵攻撃に対して脆弱であることを示す。
本研究の目的は,OSAD(Open-Set Adrial Defense, Open-Set Adrial Defense)機構の必要性である。
本稿はOSAD問題に対する解決策として,OSDN(Open-Set Defense Network)を提案する。
論文 参考訳(メタデータ) (2020-09-02T04:35:33Z) - Bayesian Optimization with Machine Learning Algorithms Towards Anomaly
Detection [66.05992706105224]
本稿では,ベイズ最適化手法を用いた効果的な異常検出フレームワークを提案する。
ISCX 2012データセットを用いて検討したアルゴリズムの性能を評価する。
実験結果から, 精度, 精度, 低コストアラームレート, リコールの観点から, 提案手法の有効性が示された。
論文 参考訳(メタデータ) (2020-08-05T19:29:35Z) - Autosploit: A Fully Automated Framework for Evaluating the
Exploitability of Security Vulnerabilities [47.748732208602355]
Autosploitは脆弱性の悪用性を評価するためのフレームワークだ。
環境の異なる設定でエクスプロイトを自動的にテストする。
ノイズレス環境とノイズの多い環境の両方で脆弱性を悪用する能力に影響を与えるシステムの特性を識別することができる。
論文 参考訳(メタデータ) (2020-06-30T18:49:18Z) - Suppressing Uncertainties for Large-Scale Facial Expression Recognition [81.51495681011404]
本稿では,不確実性を効果的に抑制し,深層ネットワークが不確実な顔画像に過度に収まらないような,シンプルで効率的なセルフキュアネットワーク(SCN)を提案する。
公開ベンチマークの結果、我々のSCNは現在の最先端メソッドよりも、RAF-DBで textbf88.14%、AffectNetで textbf60.23%、FERPlusで textbf89.35% を上回りました。
論文 参考訳(メタデータ) (2020-02-24T17:24:36Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。