論文の概要: Identifying Vulnerability Patches by Comprehending Code Commits with Comprehensive Change Contexts

• arxiv url: http://arxiv.org/abs/2310.02530v1
• Date: Wed, 4 Oct 2023 02:08:18 GMT
• ステータス: 処理完了
• システム内更新日: 2024-03-19 03:21:56.700269
• Title: Identifying Vulnerability Patches by Comprehending Code Commits with Comprehensive Change Contexts
• Title（参考訳）: コードコミッタの包括的変更コンテキストによる脆弱性パッチの特定
• Authors: Tianyu Chen, Lin Li, Taotao Qian, Zeyu Wang, Guangtai Liang, Ding Li, Qianxiang Wang, Tao Xie,
• Abstract要約: CompVPDは、コードコミットを包括的なコンテキストで理解するために、大きな言語モデル(LLM)であるStarCoderを微調整することで、脆弱性のパッチを特定するための最初のアプローチである。 CompVPDと、脆弱性のパッチを特定する4つのSOTA(State-of-the-art/practice)アプローチを実証的に比較する。 CompVPDはAUCのスコアを11%改善し、SOTAのベストスコアと比較するとF1のスコアを30%改善する。
• 参考スコア（独自算出の注目度）: 15.95646104591207
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: To help application developers apply vulnerability patches timely, security researchers maintain vulnerability databases such as National Vulnerability Database (NVD). By directly monitoring NVD with the name of each used library, application developers can be aware of vulnerabilities and their patches. Given that the monitoring results of vulnerability patches are unreliable due to patch incompleteness of NVD, existing approaches employ deep-learning (DL) models to identify additional vulnerability patches by determining whether a code commit fixes a vulnerability. However, these approaches suffer from low accuracy due to not considering code commits' comprehensive contexts such as control/data-flow contexts or method-invocation contexts. To improve accuracy, we design CompVPD, the first approach to identify vulnerability patches by fine-tuning a large language model (LLM) named StarCoder to comprehend code commits with comprehensive contexts. Considering that including comprehensive contexts needs to balance the context size and the training costs of LLM, CompVPD includes our two novel algorithms to generate comprehensive contexts within the given window size by removing irrelevant components (i.e., files, methods, and statements) and adaptively expanding each context. We empirically compare CompVPD with four state-of-the-art/practice (SOTA) approaches that identify vulnerability patches. The results show that CompVPD improves the AUC score by 11% and the F1 score by 30% when compared with the best scores of the SOTA approaches. Additionally, CompVPD provides high value to security practice by helping identify 20 vulnerability patches and 18 fixes of high-risk bugs from 2,500 recent code commits of five highly popular open-source projects.
• Abstract（参考訳）: アプリケーション開発者がタイムリーに脆弱性パッチを適用するのを助けるため、セキュリティ研究者はNational Vulnerability Database (NVD)のような脆弱性データベースを維持している。 NVDを使用済みライブラリの名前で直接監視することで、アプリケーション開発者は脆弱性とそのパッチを認識することができる。 NVDのパッチ不完全性のため、脆弱性パッチの監視結果は信頼性が低いため、既存のアプローチでは、コードコミットが脆弱性を修正するかどうかを判断することで、追加の脆弱性パッチを特定するためにディープラーニング(DL)モデルを採用している。 しかしながら、これらのアプローチは、制御/データフローコンテキストやメソッド呼び出しコンテキストといったコードコミットの包括的なコンテキストを考慮していないため、低い精度で悩まされる。 そこで我々は,大言語モデル(LLM)であるStarCoderを微調整し,包括的なコンテキストでコードコミットを理解することで,脆弱性の特定を行うCompVPDを設計した。 包括的コンテキストを含むと、LLMのコンテキストサイズとトレーニングコストのバランスをとる必要があることを考慮し、CompVPDは、関係のないコンポーネント(ファイル、メソッド、ステートメント)を削除し、各コンテキストを適応的に拡張することで、与えられたウィンドウサイズ内で包括的なコンテキストを生成する2つの新しいアルゴリズムを含む。 CompVPDと、脆弱性のパッチを特定する4つのSOTA(State-of-the-art/practice)アプローチを実証的に比較する。 その結果,CompVPDはAUCスコアを11%改善し,F1スコアを30%改善した。 さらに、CompVPDは、人気の高い5つのオープンソースプロジェクトの2500のコードコミットから、20の脆弱性パッチと18のリスクの高いバグの修正を見つけることを支援することで、セキュリティプラクティスに高い価値を提供する。

関連論文リスト

• Evaluating Pre-Trained Models for Multi-Language Vulnerability Patching [3.220818227251765]
  本稿では,事前学習型言語モデルであるCodeBERTとCodeT5の脆弱性パッチ自動適用の可能性について検討する。 これらのモデルの精度、計算効率、脆弱性のあるコードパッチの長さがパフォーマンスに与える影響について評価する。
  論文  参考訳（メタデータ） (2025-01-13T13:51:05Z)
• SoftPatch+: Fully Unsupervised Anomaly Classification and Segmentation [84.07909405887696]
  本論文は、完全教師なし産業異常検出(すなわち、ノイズデータ付き教師なしAD)を初めて検討したものである。 メモリベースの非教師なしAD手法であるSoftPatchとSoftPatch+を提案する。 既存の手法と比較して、SoftPatchは通常のデータの強力なモデリング能力を維持し、コアセットにおける過信問題を軽減する。 様々なノイズシナリオで実施された総合的な実験により、SoftPatchとSoftPatch+はMVTecAD、ViSA、BTADのベンチマークで最先端のADメソッドよりも優れていた。
  論文  参考訳（メタデータ） (2024-12-30T11:16:49Z)
• Improving Discovery of Known Software Vulnerability For Enhanced Cybersecurity [0.0]
  脆弱性検出はCommon Platformion (CPE)文字列のような標準化された識別子に依存する。 ソフトウェアベンダが発行する標準化されていないCPE文字列は、大きな課題を生み出します。 一貫性のない命名規則、バージョニングプラクティスは、データベースをクエリする際のミスマッチを引き起こす。
  論文  参考訳（メタデータ） (2024-12-21T12:43:52Z)
• Learning Graph-based Patch Representations for Identifying and Assessing Silent Vulnerability Fixes [5.983725940750908]
  ソフトウェアプロジェクトは多くのサードパーティのライブラリに依存しているため、リスクの高い脆弱性は依存関係チェーンを通じて下流のプロジェクトへと伝播する可能性がある。 無力な脆弱性修正は、ダウンストリームソフトウェアが緊急のセキュリティ問題にタイムリーに気付いておらず、ソフトウェアにセキュリティリスクを生じさせる。 本稿ではGRAphベースのパッチrEpresentationであるGRAPEを提案する。
  論文  参考訳（メタデータ） (2024-09-13T03:23:11Z)
• Adaptive Hierarchical Certification for Segmentation using Randomized Smoothing [87.48628403354351]
  機械学習の認証は、特定の条件下では、敵対的なサンプルが特定の範囲内でモデルを回避できないことを証明している。 セグメンテーションの一般的な認証方法は、平らな粒度のクラスを使い、モデルの不確実性による高い断続率をもたらす。 本稿では,複数レベルの階層内で画素を認証し,不安定なコンポーネントに対して粗いレベルに適応的に認証を緩和する,新しい,より実用的な設定を提案する。
  論文  参考訳（メタデータ） (2024-02-13T11:59:43Z)
• Silent Vulnerability-fixing Commit Identification Based on Graph Neural Networks [4.837912059099674]
  VFFINDERは、サイレント脆弱性の自動検出のためのグラフベースのアプローチである。 VFFINDERは、アテンションベースのグラフニューラルネットワークモデルを使用して、脆弱性修正コミットと非修正コミットを区別する。 以上の結果から,VFFINDERは精度272-420%,リコール22-70%,F13.2X-8.2Xに改善した。
  論文  参考訳（メタデータ） (2023-09-15T07:51:39Z)
• Better Practices for Domain Adaptation [62.70267990659201]
  ドメイン適応(DA)は、ラベルを使わずに、モデルを配置データに適用するためのフレームワークを提供することを目的としている。 DAの明確な検証プロトコルは、文献の悪い実践につながっている。 ドメイン適応手法の3つの分野にまたがる課題を示す。
  論文  参考訳（メタデータ） (2023-09-07T17:44:18Z)
• VFFINDER: A Graph-based Approach for Automated Silent Vulnerability-Fix Identification [4.837912059099674]
  VFFINDERは、サイレント脆弱性の自動検出のためのグラフベースのアプローチである。 これは、アテンションベースのグラフニューラルネットワークモデルを使用して、脆弱性修正コミットと非修正コミットを区別する。 以上の結果から,VFFINDERの精度は39～83%,リコール率19～148%,F1では30～109%向上した。
  論文  参考訳（メタデータ） (2023-09-05T05:55:18Z)
• Smooth-Reduce: Leveraging Patches for Improved Certified Robustness [100.28947222215463]
  本研究では,Smooth-Reduce の学習自由な修正スムース化手法を提案する。 提案アルゴリズムは,入力画像から抽出した重なり合うパッチを分類し,予測ロジットを集約して,入力周辺の半径が大きいことを証明する。 我々は,このような証明書の理論的保証を提供し,他のランダムな平滑化手法に対する顕著な改善を実証的に示す。
  論文  参考訳（メタデータ） (2022-05-12T15:26:20Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)
• (De)Randomized Smoothing for Certifiable Defense against Patch Attacks [136.79415677706612]
  我々は、所定の画像とパッチ攻撃サイズを保証する、パッチ攻撃に対する認証可能な防御を導入する。 本手法はランダム化スムースなロバスト性スキームの幅広いクラスに関係している。 その結果,CIFAR-10およびImageNetに対するパッチ攻撃に対する認証済みの防御技術が確立した。
  論文  参考訳（メタデータ） (2020-02-25T08:39:46Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。