論文の概要: Assessing the Security of GitHub Copilot Generated Code -- A Targeted
Replication Study
- arxiv url: http://arxiv.org/abs/2311.11177v1
- Date: Sat, 18 Nov 2023 22:12:59 GMT
- ステータス: 処理完了
- システム内更新日: 2023-11-22 06:51:07.245445
- Title: Assessing the Security of GitHub Copilot Generated Code -- A Targeted
Replication Study
- Title(参考訳): GitHub Copilot生成コードのセキュリティを評価する - ターゲットとするレプリケーション調査
- Authors: Vahid Majdinasab and Michael Joshua Bishop and Shawn Rasheed and
Arghavan Moradidakhel and Amjed Tahir and Foutse Khomh
- Abstract要約: 最近の研究は、GitHub CopilotやAmazon CodeWhispererといったAIによるコード生成ツールのセキュリティ問題を調査している。
本稿では、コパイロットのセキュリティの弱点を調査し、コパイロットが提案するコードにいくつかの弱点を発見したPearce et al.の研究を再現する。
我々の結果は、新しいバージョンのCopilotが改良されても、脆弱性のあるコード提案の割合が36.54%から27.25%に減少していることを示している。
- 参考スコア(独自算出の注目度): 11.644996472213611
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: AI-powered code generation models have been developing rapidly, allowing
developers to expedite code generation and thus improve their productivity.
These models are trained on large corpora of code (primarily sourced from
public repositories), which may contain bugs and vulnerabilities. Several
concerns have been raised about the security of the code generated by these
models. Recent studies have investigated security issues in AI-powered code
generation tools such as GitHub Copilot and Amazon CodeWhisperer, revealing
several security weaknesses in the code generated by these tools. As these
tools evolve, it is expected that they will improve their security protocols to
prevent the suggestion of insecure code to developers. This paper replicates
the study of Pearce et al., which investigated security weaknesses in Copilot
and uncovered several weaknesses in the code suggested by Copilot across
diverse scenarios and languages (Python, C and Verilog). Our replication
examines Copilot security weaknesses using newer versions of Copilot and CodeQL
(the security analysis framework). The replication focused on the presence of
security vulnerabilities in Python code. Our results indicate that, even with
the improvements in newer versions of Copilot, the percentage of vulnerable
code suggestions has reduced from 36.54% to 27.25%. Nonetheless, it remains
evident that the model still suggests insecure code.
- Abstract(参考訳): aiを使用したコード生成モデルの開発が急速に進み、コード生成の迅速化と生産性の向上が図られている。
これらのモデルは、バグや脆弱性を含む可能性のある大量のコード(主に公開リポジトリからソース)でトレーニングされる。
これらのモデルによって生成されるコードのセキュリティに関して、いくつかの懸念が提起されている。
最近の研究は、GitHub CopilotやAmazon CodeWhispererといったAIによるコード生成ツールのセキュリティ問題を調査し、これらのツールによって生成されたコードにいくつかのセキュリティ上の弱点が明らかになった。
これらのツールが進化するにつれて、セキュリティプロトコルを改善して、開発者に安全でないコードを提案することを防ぐことが期待される。
本稿では、Copilotにおけるセキュリティの弱点を調査し、さまざまなシナリオや言語(Python、C、Verilog)でCopilotが提案するコードにいくつかの弱点を発見したPearceらの研究を再現する。
私たちのレプリケーションは、新しいバージョンのcopilotとcodeql(セキュリティ分析フレームワーク)を使用して、copilotのセキュリティ上の弱点を調べます。
レプリケーションは、pythonコードのセキュリティ脆弱性の存在に注目したものだ。
結果から,新しいバージョンのcopilotでも,脆弱性のあるコード提案の割合は36.54%から27.25%に低下した。
それでも、モデルが安全でないコードを示していることは明らかである。
関連論文リスト
- RedCode: Risky Code Execution and Generation Benchmark for Code Agents [50.81206098588923]
RedCodeはリスクの高いコード実行と生成のためのベンチマークである。
RedCode-Execは、危険なコード実行につながる可能性のある、挑戦的なプロンプトを提供する。
RedCode-Genは160のプロンプトに関数シグネチャとドキュメントを入力として提供し、コードエージェントが命令に従うかどうかを評価する。
論文 参考訳(メタデータ) (2024-11-12T13:30:06Z) - HexaCoder: Secure Code Generation via Oracle-Guided Synthetic Training Data [60.75578581719921]
大規模言語モデル(LLM)は、自動コード生成に大きな可能性を示している。
最近の研究は、多くのLLM生成コードが深刻なセキュリティ脆弱性を含んでいることを強調している。
我々は,LLMがセキュアなコードを生成する能力を高めるための新しいアプローチであるHexaCoderを紹介する。
論文 参考訳(メタデータ) (2024-09-10T12:01:43Z) - Is Your AI-Generated Code Really Safe? Evaluating Large Language Models on Secure Code Generation with CodeSecEval [20.959848710829878]
大規模言語モデル(LLM)は、コード生成とコード修復に大きな進歩をもたらした。
しかし、GitHubのようなオープンソースのリポジトリから無防備なデータを使用したトレーニングは、セキュリティ上の脆弱性を必然的に伝播するリスクを増大させる。
我々は,コードLLMのセキュリティ面を正確に評価し,拡張することを目的とした総合的研究を提案する。
論文 参考訳(メタデータ) (2024-07-02T16:13:21Z) - VersiCode: Towards Version-controllable Code Generation [58.82709231906735]
大規模言語モデル(LLM)は、コード生成において大きな進歩を遂げていますが、既存の研究は、ソフトウェア開発の動的な性質を説明できません。
バージョン別コード補完(VSCC)とバージョン別コードマイグレーション(VACM)の2つの新しいタスクを提案する。
VersiCodeについて広範な評価を行い、バージョン管理可能なコード生成が確かに重要な課題であることを示した。
論文 参考訳(メタデータ) (2024-06-11T16:15:06Z) - CodeAttack: Revealing Safety Generalization Challenges of Large Language Models via Code Completion [117.178835165855]
本稿では,自然言語入力をコード入力に変換するフレームワークであるCodeAttackを紹介する。
我々の研究は、コード入力に対するこれらのモデルの新たな、普遍的な安全性の脆弱性を明らかにした。
CodeAttackと自然言語の分布ギャップが大きくなると、安全性の一般化が弱くなる。
論文 参考訳(メタデータ) (2024-03-12T17:55:38Z) - LLM-Powered Code Vulnerability Repair with Reinforcement Learning and
Semantic Reward [3.729516018513228]
我々は,大規模な言語モデルであるCodeGen2を利用した多目的コード脆弱性解析システム texttSecRepair を導入する。
そこで本研究では,LLMを用いた脆弱性解析に適した命令ベースデータセットを提案する。
GitHub上の6つのオープンソースIoTオペレーティングシステムにおいて、ゼロデイとNデイの脆弱性を特定します。
論文 参考訳(メタデータ) (2024-01-07T02:46:39Z) - Enhancing Large Language Models for Secure Code Generation: A
Dataset-driven Study on Vulnerability Mitigation [24.668682498171776]
大規模言語モデル(LLM)はコード生成に大きな進歩をもたらし、初心者と経験豊富な開発者の両方に恩恵を与えている。
しかし、GitHubのようなオープンソースのリポジトリから無防備なデータを使用したトレーニングは、セキュリティ上の脆弱性を不注意に伝播するリスクをもたらす。
本稿では,ソフトウェアセキュリティの観点からのLLMの評価と拡張に焦点をあてた総合的研究について述べる。
論文 参考訳(メタデータ) (2023-10-25T00:32:56Z) - Security Weaknesses of Copilot Generated Code in GitHub [8.364612094301071]
GitHub Copilotが生成したコードスニペットをGitHubプロジェクトから分析します。
分析の結果,Copilotが生成した452個のスニペットが検出された。
また、実践者は、対応するセキュリティ意識とスキルを育む必要があることも示している。
論文 参考訳(メタデータ) (2023-10-03T14:01:28Z) - Generation Probabilities Are Not Enough: Uncertainty Highlighting in AI Code Completions [54.55334589363247]
本研究では,不確実性に関する情報を伝達することで,プログラマがより迅速かつ正確にコードを生成することができるかどうかを検討する。
トークンのハイライトは、編集される可能性が最も高いので、タスクの完了が早くなり、よりターゲットを絞った編集が可能になることがわかりました。
論文 参考訳(メタデータ) (2023-02-14T18:43:34Z) - CodeLMSec Benchmark: Systematically Evaluating and Finding Security
Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。
これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。
この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
論文 参考訳(メタデータ) (2023-02-08T11:54:07Z) - Is GitHub's Copilot as Bad as Humans at Introducing Vulnerabilities in
Code? [12.350130201627186]
セキュリティの観点から,Copilot生成したコードの比較実験解析を行った。
われわれは、Copilotが人間の開発者と同じソフトウェア脆弱性をもたらす可能性が高いかどうかを調査する。
論文 参考訳(メタデータ) (2022-04-10T18:32:04Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。