論文の概要: Exploiting Library Vulnerability via Migration Based Automating Test
Generation
- arxiv url: http://arxiv.org/abs/2312.09564v1
- Date: Fri, 15 Dec 2023 06:46:45 GMT
- ステータス: 処理完了
- システム内更新日: 2023-12-18 16:47:49.451669
- Title: Exploiting Library Vulnerability via Migration Based Automating Test
Generation
- Title(参考訳): マイグレーションベースの自動テスト生成によるライブラリ脆弱性のエクスプロイト
- Authors: Zirui Chen, Xing Hu, Xin Xia, Yi Gao, Tongtong Xu, David Lo, Xiaohu
Yang
- Abstract要約: ソフトウェア開発において、開発者は既存の機能を実装するのを避けるためにサードパーティのライブラリを幅広く利用する。
脆弱性のエクスプロイトは、公開後に脆弱性を再現するためのコードスニペットとして、豊富な脆弱性関連情報を含んでいる。
本研究は、開発者が依存関係を更新するかどうかを判断する基盤として脆弱性エクスプロイトテストを提供するVESTAと呼ばれる、脆弱性エクスプロイトに基づく新しい手法を提案する。
- 参考スコア(独自算出の注目度): 16.39796265296833
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: In software development, developers extensively utilize third-party libraries
to avoid implementing existing functionalities. When a new third-party library
vulnerability is disclosed, project maintainers need to determine whether their
projects are affected by the vulnerability, which requires developers to invest
substantial effort in assessment. However, existing tools face a series of
issues: static analysis tools produce false alarms, dynamic analysis tools
require existing tests and test generation tools have low success rates when
facing complex vulnerabilities.
Vulnerability exploits, as code snippets provided for reproducing
vulnerabilities after disclosure, contain a wealth of vulnerability-related
information. This study proposes a new method based on vulnerability exploits,
called VESTA (Vulnerability Exploit-based Software Testing Auto-Generator),
which provides vulnerability exploit tests as the basis for developers to
decide whether to update dependencies. VESTA extends the search-based test
generation methods by adding a migration step, ensuring the similarity between
the generated test and the vulnerability exploit, which increases the
likelihood of detecting potential library vulnerabilities in a project.
We perform experiments on 30 vulnerabilities disclosed in the past five
years, involving 60 vulnerability-project pairs, and compare the experimental
results with the baseline method, TRANSFER. The success rate of VESTA is 71.7\%
which is a 53.4\% improvement over TRANSFER in the effectiveness of verifying
exploitable vulnerabilities.
- Abstract(参考訳): ソフトウェア開発において、開発者は既存の機能を実装するのを避けるためにサードパーティのライブラリを幅広く利用する。
新しいサードパーティライブラリの脆弱性が開示された場合、プロジェクトのメンテナは、プロジェクトが脆弱性によって影響を受けるかどうかを判断する必要がある。
静的解析ツールは誤ったアラームを生成し、動的解析ツールは既存のテストを必要とし、テスト生成ツールは複雑な脆弱性に直面した場合の成功率が低い。
脆弱性のエクスプロイトは、公開後に脆弱性を再現するためのコードスニペットとして、豊富な脆弱性関連情報を含んでいる。
本研究では,VESTA(Vulnerability Exploit-based Software Testing Auto-Generator)と呼ばれる脆弱性エクスプロイトに基づく新たな手法を提案する。
VESTAは、マイグレーションステップを追加して検索ベースのテスト生成方法を拡張し、生成されたテストと脆弱性エクスプロイトの類似性を保証することで、プロジェクト内の潜在的ライブラリ脆弱性を検出する可能性を高める。
過去5年間に公表された30の脆弱性に対して,60の脆弱性プロジェクトペアを含む実験を行い,実験結果をベースライン手法であるTransferと比較した。
vestaの成功率は71.7\%であり、悪用可能な脆弱性の検証の有効性において、転送に対する53.4\%の改善である。
関連論文リスト
- LLbezpeky: Leveraging Large Language Models for Vulnerability Detection [10.330063887545398]
大規模言語モデル(LLM)は、人やプログラミング言語におけるセムナティクスを理解する大きな可能性を示している。
私たちは、脆弱性の特定と修正を支援するAI駆動ワークフローの構築に重点を置いています。
論文 参考訳(メタデータ) (2024-01-02T16:14:30Z) - Enhancing Large Language Models for Secure Code Generation: A
Dataset-driven Study on Vulnerability Mitigation [24.668682498171776]
大規模言語モデル(LLM)はコード生成に大きな進歩をもたらし、初心者と経験豊富な開発者の両方に恩恵を与えている。
しかし、GitHubのようなオープンソースのリポジトリから無防備なデータを使用したトレーニングは、セキュリティ上の脆弱性を不注意に伝播するリスクをもたらす。
本稿では,ソフトウェアセキュリティの観点からのLLMの評価と拡張に焦点をあてた総合的研究について述べる。
論文 参考訳(メタデータ) (2023-10-25T00:32:56Z) - How well does LLM generate security tests? [8.454827764115631]
開発者は生産性とソフトウェア品質を改善するために、しばしばサードパーティライブラリ(Lib)の上にソフトウェアを構築する。
こうした攻撃をサプライチェーン攻撃と呼び、2022年には742%増加した。
セキュリティテストを生成するためにChatGPT-4.0を使用しました。
論文 参考訳(メタデータ) (2023-10-01T16:00:58Z) - Identifying the Risks of LM Agents with an LM-Emulated Sandbox [70.83306884808988]
言語モデル(LM)エージェントとツールは、豊富な機能セットを可能にすると同時に、潜在的なリスクを増幅する。
これらのエージェントを高いコストでテストすることは、高いリスクと長い尾のリスクを見つけるのをますます困難にします。
ツール実行をエミュレートするためにLMを使用し、さまざまなツールやシナリオに対してLMエージェントのテストを可能にするフレームワークであるToolEmuを紹介します。
ツールエミュレータと評価器の両方を人体評価によりテストし,ToolEmuで特定されたエラーの68.8%が実世界のエージェントの失敗であることを確認した。
論文 参考訳(メタデータ) (2023-09-25T17:08:02Z) - VULNERLIZER: Cross-analysis Between Vulnerabilities and Software
Libraries [4.2755847332268235]
VULNERLIZERは脆弱性とソフトウェアライブラリ間のクロス分析のための新しいフレームワークである。
CVEとソフトウェアライブラリのデータとクラスタリングアルゴリズムを使用して、脆弱性とライブラリ間のリンクを生成する。
トレーニングされたモデルは、75%以上の予測精度に達する。
論文 参考訳(メタデータ) (2023-09-18T10:34:47Z) - AIBugHunter: A Practical Tool for Predicting, Classifying and Repairing
Software Vulnerabilities [27.891905729536372]
AIBugHunterは、C/C++言語用のMLベースのソフトウェア脆弱性分析ツールで、Visual Studio Codeに統合されている。
本稿では,新たな多目的最適化(MOO)に基づく脆弱性分類手法と,AIBugHunterが脆弱性タイプを正確に識別し,重症度を推定するためのトランスフォーマーに基づく評価手法を提案する。
論文 参考訳(メタデータ) (2023-05-26T04:21:53Z) - CodeLMSec Benchmark: Systematically Evaluating and Finding Security
Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。
これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。
この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
論文 参考訳(メタデータ) (2023-02-08T11:54:07Z) - SUPERNOVA: Automating Test Selection and Defect Prevention in AAA Video
Games Using Risk Based Testing and Machine Learning [62.997667081978825]
従来の手法では、成長するソフトウェアシステムではスケールできないため、ビデオゲームのテストはますます難しいタスクになります。
自動化ハブとして機能しながら,テスト選択と欠陥防止を行うシステム SUPERNOVA を提案する。
この直接的な影響は、未公表のスポーツゲームタイトルの55%以上のテスト時間を減らすことが観察されている。
論文 参考訳(メタデータ) (2022-03-10T00:47:46Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z) - Autosploit: A Fully Automated Framework for Evaluating the
Exploitability of Security Vulnerabilities [47.748732208602355]
Autosploitは脆弱性の悪用性を評価するためのフレームワークだ。
環境の異なる設定でエクスプロイトを自動的にテストする。
ノイズレス環境とノイズの多い環境の両方で脆弱性を悪用する能力に影響を与えるシステムの特性を識別することができる。
論文 参考訳(メタデータ) (2020-06-30T18:49:18Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。