論文の概要: Silent Vulnerability-fixing Commit Identification Based on Graph Neural Networks

• arxiv url: http://arxiv.org/abs/2309.08225v1
• Date: Fri, 15 Sep 2023 07:51:39 GMT
• ステータス: 処理完了
• システム内更新日: 2023-10-23 07:28:04.688622
• Title: Silent Vulnerability-fixing Commit Identification Based on Graph Neural Networks
• Title（参考訳）: グラフニューラルネットワークに基づくサイレント脆弱性修正コミット識別
• Authors: Hieu Dinh Vo, Thanh Trong Vu, and Son Nguyen
• Abstract要約: VFFINDERは、サイレント脆弱性の自動検出のためのグラフベースのアプローチである。 VFFINDERは、アテンションベースのグラフニューラルネットワークモデルを使用して、脆弱性修正コミットと非修正コミットを区別する。 以上の結果から,VFFINDERは精度272-420%,リコール22-70%,F13.2X-8.2Xに改善した。
• 参考スコア（独自算出の注目度）: 4.837912059099674
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: The growing dependence of software projects on external libraries has generated apprehensions regarding the security of these libraries because of concealed vulnerabilities. Handling these vulnerabilities presents difficulties due to the temporal delay between remediation and public exposure. Furthermore, a substantial fraction of open-source projects covertly address vulnerabilities without any formal notification, influencing vulnerability management. Established solutions like OWASP predominantly hinge on public announcements, limiting their efficacy in uncovering undisclosed vulnerabilities. To address this challenge, the automated identification of vulnerability-fixing commits has come to the forefront. In this paper, we present VFFINDER, a novel graph-based approach for automated silent vulnerability fix identification. VFFINDER captures structural changes using Abstract Syntax Trees (ASTs) and represents them in annotated ASTs. To precisely capture the meaning of code changes, the changed code is represented in connection with the related unchanged code. In VFFINDER, the structure of the changed code and related unchanged code are captured and the structural changes are represented in annotated Abstract Syntax Trees (aAST). VFFINDER distinguishes vulnerability-fixing commits from non-fixing ones using attention-based graph neural network models to extract structural features expressed in aASTs. We conducted experiments to evaluate VFFINDER on a dataset of 11K+ vulnerability fixing commits in 507 real-world C/C++ projects. Our results show that VFFINDER significantly improves the state-of-the-art methods by 272-420% in Precision, 22-70% in Recall, and 3.2X-8.2X in F1. Especially, VFFINDER speeds up the silent fix identification process by up to 121% with the same effort reviewing 50K LOC compared to the existing approaches.
• Abstract（参考訳）: ソフトウェアプロジェクトの外部ライブラリへの依存度が高まっているため、これらのライブラリのセキュリティに対する不安が生じている。 これらの脆弱性の処理は、修復と公開の時間的遅延のために難しい。 さらに、かなりの数のオープンソースプロジェクトが、正式な通知なしで脆弱性を隠蔽し、脆弱性管理に影響を与える。 owaspのような確立されたソリューションは、主に公開発表に依存し、非公開の脆弱性を明らかにする効果を制限している。 この課題に対処するために、脆弱性フィックスコミットの自動識別が最前線にある。 本稿では,自動無声脆弱性検出のためのグラフベースの新しいアプローチであるVFFINDERを提案する。 VFFINDERは抽象構文木(AST)を使用して構造変化をキャプチャし、アノテーション付きASTでそれらを表現する。 変更コードの意味を正確に把握するために、変更コードと関連する変更コードとを関連付けて表現する。 VFFINDERでは、変更コードと関連する変更コードの構造をキャプチャし、構造変更を注釈付き抽象構文木(aAST)で表現する。 VFFINDERは、AASTで表現された構造的特徴を抽出するために注意ベースのグラフニューラルネットワークモデルを使用して、脆弱性修正コミットと非修正コミットを区別する。 我々は,507の現実世界のC/C++プロジェクトにおいて,11K以上の脆弱性修正コミットのデータセット上でVFFINDERを評価する実験を行った。 以上の結果から,VFFINDERは精度272-420%,リコール22-70%,F13.2X-8.2Xに改善した。 特に、VFFINDERは、既存のアプローチと比較して50KLOCをレビューするのと同じ努力で、サイレントフィクス識別プロセスを最大121%高速化する。

関連論文リスト

• Learning Graph-based Patch Representations for Identifying and Assessing Silent Vulnerability Fixes [5.983725940750908]
  ソフトウェアプロジェクトは多くのサードパーティのライブラリに依存しているため、リスクの高い脆弱性は依存関係チェーンを通じて下流のプロジェクトへと伝播する可能性がある。 無力な脆弱性修正は、ダウンストリームソフトウェアが緊急のセキュリティ問題にタイムリーに気付いておらず、ソフトウェアにセキュリティリスクを生じさせる。 本稿ではGRAphベースのパッチrEpresentationであるGRAPEを提案する。
  論文  参考訳（メタデータ） (2024-09-13T03:23:11Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• LLM-Enhanced Static Analysis for Precise Identification of Vulnerable OSS Versions [12.706661324384319]
  オープンソースソフトウェア(OSS)は、そのコラボレーティブな開発モデルとコスト効果の性質から、人気が高まっている。 開発プロジェクトにおける特定のソフトウェアバージョンの採用は、これらのバージョンが脆弱性をもたらす場合にセキュリティリスクをもたらす可能性がある。 脆弱性のあるバージョンを識別する現在の方法は、通常、事前に定義されたルールで静的解析を使用して、脆弱性パッチに関わるコードを分析してトレースする。 本稿では,C/C++で記述されたOSSの脆弱なバージョンを特定するために,Vercationを提案する。
  論文  参考訳（メタデータ） (2024-08-14T06:43:06Z)
• Exploring Automatic Cryptographic API Misuse Detection in the Era of LLMs [60.32717556756674]
  本稿では,暗号誤用の検出において,大規模言語モデルを評価するための体系的評価フレームワークを提案する。 11,940個のLCM生成レポートを詳細に分析したところ、LSMに固有の不安定性は、報告の半数以上が偽陽性になる可能性があることがわかった。 最適化されたアプローチは、従来の手法を超え、確立されたベンチマークでこれまで知られていなかった誤用を明らかにすることで、90%近い顕著な検出率を達成する。
  論文  参考訳（メタデータ） (2024-07-23T15:31:26Z)
• Coarse-to-Fine Proposal Refinement Framework for Audio Temporal Forgery Detection and Localization [60.899082019130766]
  本稿では、フレームレベル検出ネットワーク(FDN)と、音声の時間的偽造検出とローカライゼーションのための改良ネットワーク(PRN)を提案する。 FDNは、偽のフレーム間で情報的不整合の手がかりを抽出し、偽の領域を大まかに示すのに有用な識別的特徴を得る。 PRNは、FDNから派生した粗粒度の提案を洗練するために、信頼スコアと回帰オフセットを予測する責任がある。
  論文  参考訳（メタデータ） (2024-07-23T15:07:52Z)
• CompVPD: Iteratively Identifying Vulnerability Patches Based on Human Validation Results with a Precise Context [16.69634193308039]
  パッチの通知が不完全で遅延することが多いため、オープンソースソフトウェアにタイムリーにセキュリティパッチを適用するのは難しい。 本稿では,パッチに関連するコードを正確に識別する多粒度スライシングアルゴリズムと適応拡張アルゴリズムを提案する。 脆弱性の特定には、CompVPDと4つのSOTA(State-of-the-art/practice)アプローチを実証的に比較する。
  論文  参考訳（メタデータ） (2023-10-04T02:08:18Z)
• VFFINDER: A Graph-based Approach for Automated Silent Vulnerability-Fix Identification [4.837912059099674]
  VFFINDERは、サイレント脆弱性の自動検出のためのグラフベースのアプローチである。 これは、アテンションベースのグラフニューラルネットワークモデルを使用して、脆弱性修正コミットと非修正コミットを区別する。 以上の結果から,VFFINDERの精度は39～83%,リコール率19～148%,F1では30～109%向上した。
  論文  参考訳（メタデータ） (2023-09-05T05:55:18Z)
• Multi-Granularity Detector for Vulnerability Fixes [13.653249890867222]
  脆弱性修正のためのMiDa(Multi-Granularity Detector for Vulnerability Fixes)を提案する。 MiDasはコミットレベル、ファイルレベル、ハンクレベル、ラインレベルに対応して、コード変更の粒度ごとに異なるニューラルネットワークを構築する。 MiDasは、現在の最先端のベースラインをAUCで4.9%、JavaとPythonベースのデータセットで13.7%上回っている。
  論文  参考訳（メタデータ） (2023-05-23T10:06:28Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)
• Software Vulnerability Detection via Deep Learning over Disaggregated Code Graph Representation [57.92972327649165]
  この研究は、コードコーパスから安全でないパターンを自動的に学習するためのディープラーニングアプローチを探求する。 コードには解析を伴うグラフ構造が自然に認められるため,プログラムの意味的文脈と構造的規則性の両方を利用する新しいグラフニューラルネットワーク(GNN)を開発する。
  論文  参考訳（メタデータ） (2021-09-07T21:24:36Z)
• Suppressing Uncertainties for Large-Scale Facial Expression Recognition [81.51495681011404]
  本稿では,不確実性を効果的に抑制し,深層ネットワークが不確実な顔画像に過度に収まらないような,シンプルで効率的なセルフキュアネットワーク(SCN)を提案する。 公開ベンチマークの結果、我々のSCNは現在の最先端メソッドよりも、RAF-DBで textbf88.14%、AffectNetで textbf60.23%、FERPlusで textbf89.35% を上回りました。
  論文  参考訳（メタデータ） (2020-02-24T17:24:36Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。