論文の概要: VFCFinder: Seamlessly Pairing Security Advisories and Patches
- arxiv url: http://arxiv.org/abs/2311.01532v1
- Date: Thu, 2 Nov 2023 18:30:12 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-25 13:45:54.908948
- Title: VFCFinder: Seamlessly Pairing Security Advisories and Patches
- Title(参考訳): VFCFinder: セキュリティアドバイザリとパッチをシームレスにペアリングする
- Authors: Trevor Dunlap, Elizabeth Lin, William Enck, Bradley Reaves,
- Abstract要約: VFCFinderは、所定のセキュリティアドバイザリに対する、上位5位の脆弱性修正コミットを生成するツールである。
トップ5のコミットで正しいVFCを見つけた場合のリコールは96.6%、トップ1のコミットでは80.0%となる。
VFCFinderは9つの異なるプログラミング言語に一般化し、Top-1リコールの点で最先端のアプローチを36ポイント上回っている。
- 参考スコア(独自算出の注目度): 7.999059840893179
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Security advisories are the primary channel of communication for discovered vulnerabilities in open-source software, but they often lack crucial information. Specifically, 63% of vulnerability database reports are missing their patch links, also referred to as vulnerability fixing commits (VFCs). This paper introduces VFCFinder, a tool that generates the top-five ranked set of VFCs for a given security advisory using Natural Language Programming Language (NL-PL) models. VFCFinder yields a 96.6% recall for finding the correct VFC within the Top-5 commits, and an 80.0% recall for the Top-1 ranked commit. VFCFinder generalizes to nine different programming languages and outperforms state-of-the-art approaches by 36 percentage points in terms of Top-1 recall. As a practical contribution, we used VFCFinder to backfill over 300 missing VFCs in the GitHub Security Advisory (GHSA) database. All of the VFCs were accepted and merged into the GHSA database. In addition to demonstrating a practical pairing of security advisories to VFCs, our general open-source implementation will allow vulnerability database maintainers to drastically improve data quality, supporting efforts to secure the software supply chain.
- Abstract(参考訳): セキュリティアドバイザリ(Security Advisories)は、オープンソースのソフトウェアの脆弱性を発見するための主要な通信チャネルである。
具体的には、脆弱性データベースレポートの63%が、脆弱性修正コミット(VFC)とも呼ばれるパッチリンクを欠いている。
本稿では,自然言語プログラミング言語(NL-PL)モデルを用いて,与えられたセキュリティアドバイザリに対して,上位5位のVFCを生成するツールであるVFCFinderを紹介する。
VFCFinderはトップ5のコミットで正しいVFCを見つけたことで96.6%のリコールを受け、トップ1のコミットでは80.0%のリコールを受ける。
VFCFinderは9つの異なるプログラミング言語に一般化し、Top-1リコールの点で最先端のアプローチを36ポイント上回っている。
実践的なコントリビューションとして、GitHub Security Advisory(GHSA)データベースに300以上の行方不明なVFCをバックフィルするために、VFCFinderを使用しました。
全てのVFCはGHSAデータベースに統合された。
VFCに対するセキュリティアドバイザリの実践的な組み合わせのデモンストレーションに加えて、当社のオープンソース実装では、脆弱性データベースのメンテナがデータ品質を大幅に改善し、ソフトウェアサプライチェーンの確保を支援します。
関連論文リスト
- Defending Large Language Models Against Jailbreaking Attacks Through
Goal Prioritization [74.9438024948104]
大きな言語モデル(LLM)はその能力の進歩を続けているが、この進歩にはさまざまな安全性リスクが伴っている。
我々は、ジェイルブレイクの成功に寄与する重要な要因を指摘している。
ジェイルブレーキング攻撃に対する対策として,トレーニング段階と推論段階の両方でゴール優先順位付けを統合することを提案する。
論文 参考訳(メタデータ) (2023-11-15T16:42:29Z) - SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。
SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。
我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
論文 参考訳(メタデータ) (2023-09-26T08:11:38Z) - GPT-4 Is Too Smart To Be Safe: Stealthy Chat with LLMs via Cipher [85.18213923151717]
実験により、いくつかの安全領域において、GPT-4の安全性アライメントをバイパスするために、ある暗号がほぼ100%の時間で成功することが示された。
本稿では,ロールプレイのみを使用し,自然言語によるいくつかの実演を行い,これを誘発する新しいSelfCipherを提案する。
論文 参考訳(メタデータ) (2023-08-12T04:05:57Z) - Exploring Security Commits in Python [11.533638656389137]
Pythonのほとんどのセキュリティ問題は、CVEによってインデックス化されておらず、'silent'セキュリティコミットによってのみ修正される可能性がある。
限られたデータバリエーション、非包括的コードセマンティクス、解釈不能な学習機能のために、隠れたセキュリティコミットを特定することが重要だ。
Pythonの最初のセキュリティコミットデータセットであるPySecDBを構築し、ベースデータセット、パイロットデータセット、拡張データセットを含む3つのサブセットで構成される。
論文 参考訳(メタデータ) (2023-07-21T18:46:45Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z) - Detecting Security Patches via Behavioral Data in Code Repositories [11.052678122289871]
Gitリポジトリ内の開発者動作のみを使用して,セキュリティパッチを自動的に識別するシステムを示す。
秘密のセキュリティパッチを88.3%、F1スコア89.8%で公開できることを示しました。
論文 参考訳(メタデータ) (2023-02-04T06:43:07Z) - VulCurator: A Vulnerability-Fixing Commit Detector [8.32137934421055]
VulCuratorは、より豊富な情報ソースでディープラーニングを活用するツールだ。
VulCuratorはF1スコアで最先端のベースラインを最大16.1%上回っている。
論文 参考訳(メタデータ) (2022-09-07T16:11:31Z) - BackdoorBench: A Comprehensive Benchmark of Backdoor Learning [57.932398227755044]
バックドア学習は、ディープニューラルネットワーク(DNN)の脆弱性を研究する上で、新しく重要なトピックである
多くの先駆的なバックドア攻撃と防衛手法が、素早い武器競争の状況において、連続的または同時に提案されている。
BackdoorBenchというバックドア学習の総合的なベンチマークを構築しています。
論文 参考訳(メタデータ) (2022-06-25T13:48:04Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - CVEfixes: Automated Collection of Vulnerabilities and Their Fixes from
Open-Source Software [0.0]
完全に自動化されたデータセット収集ツールを実装し、CVEfixesという脆弱性データセットの初期リリースを共有します。
データセットには、プログラミング言語などのメタデータと、5つの抽象化レベルにおける詳細なコードとセキュリティメトリクスが組み込まれている。
CVEfixesは、脆弱性予測、脆弱性分類、脆弱性重大度予測、脆弱性関連コード変更の分析、自動脆弱性修正など、さまざまなタイプのデータ駆動型ソフトウェアセキュリティ研究をサポートしている。
論文 参考訳(メタデータ) (2021-07-19T11:34:09Z) - Automated Mapping of Vulnerability Advisories onto their Fix Commits in
Open Source Repositories [7.629717457706326]
実践経験と機械学習(ML)を組み合わせたアプローチを提案する。
アドバイザリから脆弱性に関する鍵情報を含むアドバイザリレコードを抽出する。
影響を受けるプロジェクトのソースコードリポジトリから、候補となる修正コミットのサブセットを取得する。
論文 参考訳(メタデータ) (2021-03-24T17:50:35Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。