論文の概要: Code Ownership in Open-Source AI Software Security
- arxiv url: http://arxiv.org/abs/2312.10861v1
- Date: Mon, 18 Dec 2023 00:37:29 GMT
- ステータス: 処理完了
- システム内更新日: 2023-12-19 14:10:07.906935
- Title: Code Ownership in Open-Source AI Software Security
- Title(参考訳): オープンソースAIソフトウェアセキュリティにおけるコードオーナシップ
- Authors: Jiawen Wen, Dong Yuan, Lei Ma, Huaming Chen
- Abstract要約: コードオーナシップのメトリクスを使用して、5つの著名なオープンソースAIソフトウェアプロジェクトにおける潜在的な脆弱性との相関を調査します。
この結果は、ハイレベルなオーナシップ(マイナーなコントリビュータの数が限られている)と脆弱性の減少との間に肯定的な関係があることを示唆している。
これらの新しいコードオーナシップメトリクスによって、プロジェクトキュレーターや品質保証の専門家が現場プロジェクトを評価し、ベンチマークするのを助けるために、Pythonベースのコマンドラインアプリケーションを実装しました。
- 参考スコア(独自算出の注目度): 18.779538756226298
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: As open-source AI software projects become an integral component in the AI
software development, it is critical to develop a novel methods to ensure and
measure the security of the open-source projects for developers. Code
ownership, pivotal in the evolution of such projects, offers insights into
developer engagement and potential vulnerabilities. In this paper, we leverage
the code ownership metrics to empirically investigate the correlation with the
latent vulnerabilities across five prominent open-source AI software projects.
The findings from the large-scale empirical study suggest a positive
relationship between high-level ownership (characterised by a limited number of
minor contributors) and a decrease in vulnerabilities. Furthermore, we
innovatively introduce the time metrics, anchored on the project's duration,
individual source code file timelines, and the count of impacted releases.
These metrics adeptly categorise distinct phases of open-source AI software
projects and their respective vulnerability intensities. With these novel code
ownership metrics, we have implemented a Python-based command-line application
to aid project curators and quality assurance professionals in evaluating and
benchmarking their on-site projects. We anticipate this work will embark a
continuous research development for securing and measuring open-source AI
project security.
- Abstract(参考訳): オープンソースAIソフトウェアプロジェクトがAIソフトウェア開発において不可欠なコンポーネントとなるため、開発者のためのオープンソースプロジェクトのセキュリティを確実に測定する新しい方法を開発することが重要である。
このようなプロジェクトの進化において重要なコードオーナシップは、開発者の関与と潜在的な脆弱性に関する洞察を提供する。
本稿では、コードオーナシップのメトリクスを利用して、5つの著名なオープンソースAIソフトウェアプロジェクトにおける潜伏する脆弱性との相関を実証的に調査する。
大規模な実証研究の結果は、高いレベルの所有権(限られた少数のコントリビュータによって特徴づけられる)と脆弱性の減少との間に肯定的な関係があることを示唆している。
さらに,プロジェクトの継続時間,個々のソースコードファイルのタイムライン,影響を受けるリリース数といった時間指標を革新的に導入する。
これらのメトリクスは、しばしばオープンソースのaiソフトウェアプロジェクトの異なるフェーズとそれぞれの脆弱性の強度を分類する。
これらの新たなコードオーナシップメトリクスによって、プロジェクトのキュレーターや品質保証の専門家がオンサイトプロジェクトの評価とベンチマークを行うのを支援するために、pythonベースのコマンドラインアプリケーションを実装しました。
この研究は、オープンソースのAIプロジェクトのセキュリティの確保と測定のための継続的な研究開発を開始すると期待しています。
関連論文リスト
- The Software Genome Project: Venture to the Genomic Pathways of Open
Source Software and Its Applications [8.55939767653389]
textbfSoftware Genome Projectは、オープンソースのソフトウェアのセキュアなモニタリングと利用を目的としている。
Software Genome Projectは、開発者とマネージャがソフトウェアの複雑さと多様性をより深く理解するために、完全なソフトウェアゲノムマップを構築する。
論文 参考訳(メタデータ) (2023-11-16T13:18:24Z) - VULNERLIZER: Cross-analysis Between Vulnerabilities and Software
Libraries [4.2755847332268235]
VULNERLIZERは脆弱性とソフトウェアライブラリ間のクロス分析のための新しいフレームワークである。
CVEとソフトウェアライブラリのデータとクラスタリングアルゴリズムを使用して、脆弱性とライブラリ間のリンクを生成する。
トレーニングされたモデルは、75%以上の予測精度に達する。
論文 参考訳(メタデータ) (2023-09-18T10:34:47Z) - Embedded Software Development with Digital Twins: Specific Requirements
for Small and Medium-Sized Enterprises [55.57032418885258]
デジタル双生児は、コスト効率の良いソフトウェア開発とメンテナンス戦略の可能性を秘めている。
私たちは中小企業に現在の開発プロセスについてインタビューした。
最初の結果は、リアルタイムの要求が、これまでは、Software-in-the-Loop開発アプローチを妨げていることを示している。
論文 参考訳(メタデータ) (2023-09-17T08:56:36Z) - Communicative Agents for Software Development [79.86905471184195]
ChatDevはチャットを利用した仮想ソフトウェア開発会社で、確立したウォーターフォールモデルを反映している。
各ステージは、プログラマ、コードレビュアー、テストエンジニアといった"ソフトウェアエージェント"のチームが参加し、協調的な対話を促進する。
ChatDevは潜在的な脆弱性を特定し、信頼できる効率とコスト効率を維持しながら幻覚を正す。
論文 参考訳(メタデータ) (2023-07-16T02:11:34Z) - State-Of-The-Practice in Quality Assurance in Java-Based Open Source
Software Development [3.4800665691198565]
我々は、GitHub上の1,454の人気のあるオープンソースプロジェクトの開発において、品質保証アプローチが併用されているかどうかを調査する。
我々の研究は、一般的にプロジェクトは高強度で全ての品質保証プラクティスに従わないことを示唆している。
一般的に、我々の研究は、Javaベースのオープンソースソフトウェア開発において、既存の品質保証アプローチがどのように使われているか、より深く理解しています。
論文 参考訳(メタデータ) (2023-06-16T07:43:11Z) - Comparing Software Developers with ChatGPT: An Empirical Investigation [0.0]
本稿では,ChatGPTのようなソフトウェア技術者やAIシステムのパフォーマンスを,さまざまな評価指標で比較した実証的研究を行う。
この論文は、さまざまな評価基準を考慮して、ソフトウェアエンジニアとAIベースのソリューションの包括的な比較が、人間と機械のコラボレーションを促進する上で重要であることを示唆している。
論文 参考訳(メタデータ) (2023-05-19T17:25:54Z) - The GitHub Development Workflow Automation Ecosystems [47.818229204130596]
大規模なソフトウェア開発は、非常に協力的な取り組みになっています。
この章では、開発ボットとGitHub Actionsのエコシステムについて解説する。
この領域における最先端技術に関する広範な調査を提供する。
論文 参考訳(メタデータ) (2023-05-08T15:24:23Z) - CodeLMSec Benchmark: Systematically Evaluating and Finding Security
Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。
これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。
この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
論文 参考訳(メタデータ) (2023-02-08T11:54:07Z) - "Project smells" -- Experiences in Analysing the Software Quality of ML
Projects with mllint [6.0141405230309335]
ソフトウェアの品質に関するより包括的な視点として,プロジェクトマネジメントにおける欠陥を考慮に入れた,プロジェクト臭いという新しい概念を紹介します。
オープンソースの静的解析ツールmllintも、これらの検出と緩和を支援するために実装されている。
この結果から,現在開発中のプロジェクトのニーズに適合する文脈対応静的解析ツールの必要性が示唆された。
論文 参考訳(メタデータ) (2022-01-20T15:52:24Z) - Empowered and Embedded: Ethics and Agile Processes [60.63670249088117]
私たちは倫理的考慮事項を(アジャイル)ソフトウェア開発プロセスに組み込む必要があると論じています。
私たちは、すでに存在しており、確立されたアジャイルソフトウェア開発プロセスで倫理的な議論を実施する可能性を強調しました。
論文 参考訳(メタデータ) (2021-07-15T11:14:03Z) - Uncertainty Quantification 360: A Holistic Toolkit for Quantifying and
Communicating the Uncertainty of AI [49.64037266892634]
我々は、AIモデルの不確実性定量化のためのオープンソースのPythonツールキットUncertainty Quantification 360 (UQ360)について述べる。
このツールキットの目標は2つある: ひとつは、AIアプリケーション開発ライフサイクルにおける不確実性を定量化し、評価し、改善し、伝達する共通のプラクティスを育むとともに、合理化するための幅広い能力を提供すること、もうひとつは、信頼できるAIの他の柱とのUQの接続をさらに探求することである。
論文 参考訳(メタデータ) (2021-06-02T18:29:04Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。