Fugu-MT 論文翻訳(概要): VFCFinder: Seamlessly Pairing Security Advisories and Patches

論文の概要: VFCFinder: Seamlessly Pairing Security Advisories and Patches

arxiv url: http://arxiv.org/abs/2311.01532v1
Date: Thu, 2 Nov 2023 18:30:12 GMT
ステータス: 処理完了
システム内更新日: 2024-03-25 13:45:54.908948
Title: VFCFinder: Seamlessly Pairing Security Advisories and Patches
Title（参考訳）: VFCFinder: セキュリティアドバイザリとパッチをシームレスにペアリングする
Authors: Trevor Dunlap, Elizabeth Lin, William Enck, Bradley Reaves,
Abstract要約: VFCFinderは、所定のセキュリティアドバイザリに対する、上位5位の脆弱性修正コミットを生成するツールである。トップ5のコミットで正しいVFCを見つけた場合のリコールは96.6%、トップ1のコミットでは80.0%となる。 VFCFinderは9つの異なるプログラミング言語に一般化し、Top-1リコールの点で最先端のアプローチを36ポイント上回っている。
参考スコア（独自算出の注目度）: 7.999059840893179
License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
Abstract: Security advisories are the primary channel of communication for discovered vulnerabilities in open-source software, but they often lack crucial information. Specifically, 63% of vulnerability database reports are missing their patch links, also referred to as vulnerability fixing commits (VFCs). This paper introduces VFCFinder, a tool that generates the top-five ranked set of VFCs for a given security advisory using Natural Language Programming Language (NL-PL) models. VFCFinder yields a 96.6% recall for finding the correct VFC within the Top-5 commits, and an 80.0% recall for the Top-1 ranked commit. VFCFinder generalizes to nine different programming languages and outperforms state-of-the-art approaches by 36 percentage points in terms of Top-1 recall. As a practical contribution, we used VFCFinder to backfill over 300 missing VFCs in the GitHub Security Advisory (GHSA) database. All of the VFCs were accepted and merged into the GHSA database. In addition to demonstrating a practical pairing of security advisories to VFCs, our general open-source implementation will allow vulnerability database maintainers to drastically improve data quality, supporting efforts to secure the software supply chain.
Abstract（参考訳）: セキュリティアドバイザリ(Security Advisories)は、オープンソースのソフトウェアの脆弱性を発見するための主要な通信チャネルである。具体的には、脆弱性データベースレポートの63%が、脆弱性修正コミット(VFC)とも呼ばれるパッチリンクを欠いている。本稿では,自然言語プログラミング言語(NL-PL)モデルを用いて,与えられたセキュリティアドバイザリに対して,上位5位のVFCを生成するツールであるVFCFinderを紹介する。 VFCFinderはトップ5のコミットで正しいVFCを見つけたことで96.6%のリコールを受け、トップ1のコミットでは80.0%のリコールを受ける。 VFCFinderは9つの異なるプログラミング言語に一般化し、Top-1リコールの点で最先端のアプローチを36ポイント上回っている。実践的なコントリビューションとして、GitHub Security Advisory(GHSA)データベースに300以上の行方不明なVFCをバックフィルするために、VFCFinderを使用しました。全てのVFCはGHSAデータベースに統合された。 VFCに対するセキュリティアドバイザリの実践的な組み合わせのデモンストレーションに加えて、当社のオープンソース実装では、脆弱性データベースのメンテナがデータ品質を大幅に改善し、ソフトウェアサプライチェーンの確保を支援します。

関連論文リスト

HexaCoder: Secure Code Generation via Oracle-Guided Synthetic Training Data [60.75578581719921]
大規模言語モデル(LLM)は、自動コード生成に大きな可能性を示している。最近の研究は、多くのLLM生成コードが深刻なセキュリティ脆弱性を含んでいることを強調している。我々は,LLMがセキュアなコードを生成する能力を高めるための新しいアプローチであるHexaCoderを紹介する。
論文参考訳（メタデータ） (2024-09-10T12:01:43Z)
JavaVFC: Java Vulnerability Fixing Commits from Open-source Software [5.351340307751831]
Javaの脆弱性修正コミット(VFC)の包括的なデータセットを提示する。私たちのデータセットは、GitHub上の何千ものオープンソースプロジェクトから派生したもので、JavaVFCとJavaVFC拡張の2つのバリエーションで構成されています。
論文参考訳（メタデータ） (2024-09-09T13:01:57Z)
PatchFinder: A Two-Phase Approach to Security Patch Tracing for Disclosed Vulnerabilities in Open-Source Software [15.867607171943698]
本稿では,エンドツーエンドの相関学習を併用した2段階のフレームワークを提案する。 PatchFinderは80.63%のRecall@10、平均相反ランク(MRR)は0.7951である。 PatchFinderを実際に適用する場合、最初は533件のパッチコミットを特定し、公式に送ったのですが、そのうち482件はCVE Numbering Authoritiesによって確認されました。
論文参考訳（メタデータ） (2024-07-24T07:46:24Z)
WildTeaming at Scale: From In-the-Wild Jailbreaks to (Adversarially) Safer Language Models [66.34505141027624]
我々は、WildTeamingを紹介した。これは自動LLM安全リチームフレームワークで、Wild-Chatbotインタラクションをマイニングし、新しいジェイルブレイク戦術の5.7Kのユニークなクラスタを発見する。 WildTeamingは、未確認のフロンティアLSMの脆弱性を明らかにし、最大4.6倍の多様性と敵の攻撃に成功した。
論文参考訳（メタデータ） (2024-06-26T17:31:22Z)
CodeAttack: Revealing Safety Generalization Challenges of Large Language Models via Code Completion [117.178835165855]
本稿では,自然言語入力をコード入力に変換するフレームワークであるCodeAttackを紹介する。我々の研究は、コード入力に対するこれらのモデルの新たな、普遍的な安全性の脆弱性を明らかにした。 CodeAttackと自然言語の分布ギャップが大きくなると、安全性の一般化が弱くなる。
論文参考訳（メタデータ） (2024-03-12T17:55:38Z)
SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。 SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
論文参考訳（メタデータ） (2023-09-26T08:11:38Z)
GPT-4 Is Too Smart To Be Safe: Stealthy Chat with LLMs via Cipher [85.18213923151717]
実験により、いくつかの安全領域において、GPT-4の安全性アライメントをバイパスするために、ある暗号がほぼ100%の時間で成功することが示された。本稿では,ロールプレイのみを使用し,自然言語によるいくつかの実演を行い,これを誘発する新しいSelfCipherを提案する。
論文参考訳（メタデータ） (2023-08-12T04:05:57Z)
Exploring Security Commits in Python [11.533638656389137]
Pythonのほとんどのセキュリティ問題は、CVEによってインデックス化されておらず、'silent'セキュリティコミットによってのみ修正される可能性がある。限られたデータバリエーション、非包括的コードセマンティクス、解釈不能な学習機能のために、隠れたセキュリティコミットを特定することが重要だ。 Pythonの最初のセキュリティコミットデータセットであるPySecDBを構築し、ベースデータセット、パイロットデータセット、拡張データセットを含む3つのサブセットで構成される。
論文参考訳（メタデータ） (2023-07-21T18:46:45Z)
Detecting Security Patches via Behavioral Data in Code Repositories [11.052678122289871]
Gitリポジトリ内の開発者動作のみを使用して,セキュリティパッチを自動的に識別するシステムを示す。秘密のセキュリティパッチを88.3%、F1スコア89.8%で公開できることを示しました。
論文参考訳（メタデータ） (2023-02-04T06:43:07Z)
BackdoorBench: A Comprehensive Benchmark of Backdoor Learning [57.932398227755044]
バックドア学習は、ディープニューラルネットワーク(DNN)の脆弱性を研究する上で、新しく重要なトピックである多くの先駆的なバックドア攻撃と防衛手法が、素早い武器競争の状況において、連続的または同時に提案されている。 BackdoorBenchというバックドア学習の総合的なベンチマークを構築しています。
論文参考訳（メタデータ） (2022-06-25T13:48:04Z)
CVEfixes: Automated Collection of Vulnerabilities and Their Fixes from Open-Source Software [0.0]
完全に自動化されたデータセット収集ツールを実装し、CVEfixesという脆弱性データセットの初期リリースを共有します。データセットには、プログラミング言語などのメタデータと、5つの抽象化レベルにおける詳細なコードとセキュリティメトリクスが組み込まれている。 CVEfixesは、脆弱性予測、脆弱性分類、脆弱性重大度予測、脆弱性関連コード変更の分析、自動脆弱性修正など、さまざまなタイプのデータ駆動型ソフトウェアセキュリティ研究をサポートしている。
論文参考訳（メタデータ） (2021-07-19T11:34:09Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。