論文の概要: Just-in-Time Security Patch Detection -- LLM At the Rescue for Data
Augmentation
- arxiv url: http://arxiv.org/abs/2312.01241v2
- Date: Tue, 12 Dec 2023 22:54:55 GMT
- ステータス: 処理完了
- システム内更新日: 2023-12-14 20:05:40.556796
- Title: Just-in-Time Security Patch Detection -- LLM At the Rescue for Data
Augmentation
- Title(参考訳): just-in-time security patch detection -- データ拡張の救済のためのllm
- Authors: Xunzhu Tang and Zhenghan Chen and Kisub Kim and Haoye Tian and Saad
Ezzini and Jacques Klein
- Abstract要約: 本稿では,LLM(Large Language Models)とコードテキストアライメントを利用した新しいセキュリティパッチ検出システム LLMDA を提案する。
LLMDA内では、ラベル付き命令を使用してLLMDAを指示し、セキュリティ関連性に基づいたパッチの識別を行う。
次に、PTFormerを使ってパッチをコードとマージし、パッチとコード間の相互接続と固有の詳細の両方を含むハイブリッド属性を定式化します。
- 参考スコア(独自算出の注目度): 8.308196041232128
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: In the face of growing vulnerabilities found in open-source software, the
need to identify {discreet} security patches has become paramount. The lack of
consistency in how software providers handle maintenance often leads to the
release of security patches without comprehensive advisories, leaving users
vulnerable to unaddressed security risks. To address this pressing issue, we
introduce a novel security patch detection system, LLMDA, which capitalizes on
Large Language Models (LLMs) and code-text alignment methodologies for patch
review, data enhancement, and feature combination. Within LLMDA, we initially
utilize LLMs for examining patches and expanding data of PatchDB and SPI-DB,
two security patch datasets from recent literature. We then use labeled
instructions to direct our LLMDA, differentiating patches based on security
relevance. Following this, we apply a PTFormer to merge patches with code,
formulating hybrid attributes that encompass both the innate details and the
interconnections between the patches and the code. This distinctive combination
method allows our system to capture more insights from the combined context of
patches and code, hence improving detection precision. Finally, we devise a
probabilistic batch contrastive learning mechanism within batches to augment
the capability of the our LLMDA in discerning security patches. The results
reveal that LLMDA significantly surpasses the start of the art techniques in
detecting security patches, underscoring its promise in fortifying software
maintenance.
- Abstract(参考訳): オープンソースソフトウェアで見つかった脆弱性が増大する中、[discreet]セキュリティパッチを特定する必要性が最重要視されている。
ソフトウェアプロバイダのメンテナンスの扱い方における一貫性の欠如は、包括的なアドバイザリのないセキュリティパッチのリリースを招き、ユーザを不適切なセキュリティリスクにさらしている。
そこで本稿では,LLM(Large Language Models)を利用した新たなセキュリティパッチ検出システム LLMDA と,パッチレビュー,データ拡張,特徴結合のためのコードテキストアライメント手法を提案する。
LLMDA内では当初,最近の文献の2つのセキュリティパッチデータセットであるPatchDBとSPI-DBのパッチ調査と拡張にLLMを使用しました。
次にラベル付き命令を使用してLSMDAを指示し、セキュリティ関連性に基づいたパッチを識別します。
その後、ptformerを使ってパッチとコードをマージし、固有の詳細とパッチとコードの相互接続の両方を包含するハイブリッド属性を定式化する。
この特異な組み合わせ手法により,本システムはパッチとコードのコンテクストからより多くの洞察を得ることができ,検出精度が向上する。
最後に,LLMDAのセキュリティパッチの識別能力を高めるため,バッチ内での確率的バッチコントラスト学習機構を考案した。
その結果,LSMDAはセキュリティパッチ検出技術の開始点をはるかに上回り,ソフトウェアメンテナンスの強化の可能性を強調した。
関連論文リスト
- Learning Graph-based Patch Representations for Identifying and Assessing Silent Vulnerability Fixes [5.983725940750908]
ソフトウェアプロジェクトは多くのサードパーティのライブラリに依存しているため、リスクの高い脆弱性は依存関係チェーンを通じて下流のプロジェクトへと伝播する可能性がある。
無力な脆弱性修正は、ダウンストリームソフトウェアが緊急のセキュリティ問題にタイムリーに気付いておらず、ソフトウェアにセキュリティリスクを生じさせる。
本稿ではGRAphベースのパッチrEpresentationであるGRAPEを提案する。
論文 参考訳(メタデータ) (2024-09-13T03:23:11Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - Towards Comprehensive and Efficient Post Safety Alignment of Large Language Models via Safety Patching [77.36097118561057]
textscSafePatchingは包括的で効率的なPSAのための新しいフレームワークである。
textscSafePatchingはベースラインメソッドよりも包括的で効率的なPSAを実現する。
論文 参考訳(メタデータ) (2024-05-22T16:51:07Z) - CodeAttack: Revealing Safety Generalization Challenges of Large Language Models via Code Completion [117.178835165855]
本稿では,自然言語入力をコード入力に変換するフレームワークであるCodeAttackを紹介する。
我々の研究は、コード入力に対するこれらのモデルの新たな、普遍的な安全性の脆弱性を明らかにした。
CodeAttackと自然言語の分布ギャップが大きくなると、安全性の一般化が弱くなる。
論文 参考訳(メタデータ) (2024-03-12T17:55:38Z) - Assessing the Brittleness of Safety Alignment via Pruning and Low-Rank Modifications [69.13807233595455]
大きな言語モデル(LLM)は、その安全性メカニズムに固有の脆さを示す。
本研究では, プルーニングと低ランク改造を利用した安全アライメントの脆性について検討した。
安全クリティカル領域への変更が制限された場合でも,LSMは低コストの微調整攻撃に対して脆弱であることを示す。
論文 参考訳(メタデータ) (2024-02-07T18:34:38Z) - ReposVul: A Repository-Level High-Quality Vulnerability Dataset [13.90550557801464]
自動データ収集フレームワークを提案し,ReposVulと呼ばれる最初のリポジトリレベルの高品質な脆弱性データセットを構築した。
提案するフレームワークは,主に3つのモジュールから構成されている。(1)脆弱性解消モジュールは,脆弱性修正に関連するコード変更を,大規模言語モデル (LLM) と静的解析ツールを併用した,絡み合ったパッチから識別することを目的としたもので,(2)脆弱性の相互呼び出し関係の把握を目的とした多言語依存性抽出モジュールで,リポジトリレベル,ファイルレベル,関数レベルを含む各脆弱性パッチに対して,複数の粒度情報を構築する。
論文 参考訳(メタデータ) (2024-01-24T01:27:48Z) - CompVPD: Iteratively Identifying Vulnerability Patches Based on Human Validation Results with a Precise Context [16.69634193308039]
パッチの通知が不完全で遅延することが多いため、オープンソースソフトウェアにタイムリーにセキュリティパッチを適用するのは難しい。
本稿では,パッチに関連するコードを正確に識別する多粒度スライシングアルゴリズムと適応拡張アルゴリズムを提案する。
脆弱性の特定には、CompVPDと4つのSOTA(State-of-the-art/practice)アプローチを実証的に比較する。
論文 参考訳(メタデータ) (2023-10-04T02:08:18Z) - VFFINDER: A Graph-based Approach for Automated Silent Vulnerability-Fix
Identification [4.837912059099674]
VFFINDERは、サイレント脆弱性の自動検出のためのグラフベースのアプローチである。
これは、アテンションベースのグラフニューラルネットワークモデルを使用して、脆弱性修正コミットと非修正コミットを区別する。
以上の結果から,VFFINDERの精度は39~83%,リコール率19~148%,F1では30~109%向上した。
論文 参考訳(メタデータ) (2023-09-05T05:55:18Z) - Multilevel Semantic Embedding of Software Patches: A Fine-to-Coarse
Grained Approach Towards Security Patch Detection [6.838615442552715]
セキュリティパッチ検出のためのマルチレベルセマンティックエンベッドダ(MultiSEM)を提案する。
このモデルは、単語中心のベクトルをきめ細かいレベルで利用し、個々の単語の重要性を強調する。
我々は、この表現をさらに強化し、パッチ記述を同化して、全体論的なセマンティック・ポートレートを得る。
論文 参考訳(メタデータ) (2023-08-29T11:41:21Z) - Pre-trained Encoders in Self-Supervised Learning Improve Secure and
Privacy-preserving Supervised Learning [63.45532264721498]
自己教師付き学習は、ラベルのないデータを使ってエンコーダを事前訓練するための新しいテクニックである。
我々は、事前訓練されたエンコーダがセキュア・プライバシ保護型学習アルゴリズムの限界に対処できるかどうかを理解するための、最初の体系的、原則的な測定研究を行う。
論文 参考訳(メタデータ) (2022-12-06T21:35:35Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。