論文の概要: Code Ownership in Open-Source AI Software Security

• arxiv url: http://arxiv.org/abs/2312.10861v1
• Date: Mon, 18 Dec 2023 00:37:29 GMT
• ステータス: 処理完了
• システム内更新日: 2023-12-19 14:10:07.906935
• Title: Code Ownership in Open-Source AI Software Security
• Title（参考訳）: オープンソースAIソフトウェアセキュリティにおけるコードオーナシップ
• Authors: Jiawen Wen, Dong Yuan, Lei Ma, Huaming Chen
• Abstract要約: コードオーナシップのメトリクスを使用して、5つの著名なオープンソースAIソフトウェアプロジェクトにおける潜在的な脆弱性との相関を調査します。 この結果は、ハイレベルなオーナシップ(マイナーなコントリビュータの数が限られている)と脆弱性の減少との間に肯定的な関係があることを示唆している。 これらの新しいコードオーナシップメトリクスによって、プロジェクトキュレーターや品質保証の専門家が現場プロジェクトを評価し、ベンチマークするのを助けるために、Pythonベースのコマンドラインアプリケーションを実装しました。
• 参考スコア（独自算出の注目度）: 18.779538756226298
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: As open-source AI software projects become an integral component in the AI software development, it is critical to develop a novel methods to ensure and measure the security of the open-source projects for developers. Code ownership, pivotal in the evolution of such projects, offers insights into developer engagement and potential vulnerabilities. In this paper, we leverage the code ownership metrics to empirically investigate the correlation with the latent vulnerabilities across five prominent open-source AI software projects. The findings from the large-scale empirical study suggest a positive relationship between high-level ownership (characterised by a limited number of minor contributors) and a decrease in vulnerabilities. Furthermore, we innovatively introduce the time metrics, anchored on the project's duration, individual source code file timelines, and the count of impacted releases. These metrics adeptly categorise distinct phases of open-source AI software projects and their respective vulnerability intensities. With these novel code ownership metrics, we have implemented a Python-based command-line application to aid project curators and quality assurance professionals in evaluating and benchmarking their on-site projects. We anticipate this work will embark a continuous research development for securing and measuring open-source AI project security.
• Abstract（参考訳）: オープンソースAIソフトウェアプロジェクトがAIソフトウェア開発において不可欠なコンポーネントとなるため、開発者のためのオープンソースプロジェクトのセキュリティを確実に測定する新しい方法を開発することが重要である。 このようなプロジェクトの進化において重要なコードオーナシップは、開発者の関与と潜在的な脆弱性に関する洞察を提供する。 本稿では、コードオーナシップのメトリクスを利用して、5つの著名なオープンソースAIソフトウェアプロジェクトにおける潜伏する脆弱性との相関を実証的に調査する。 大規模な実証研究の結果は、高いレベルの所有権(限られた少数のコントリビュータによって特徴づけられる)と脆弱性の減少との間に肯定的な関係があることを示唆している。 さらに,プロジェクトの継続時間,個々のソースコードファイルのタイムライン,影響を受けるリリース数といった時間指標を革新的に導入する。 これらのメトリクスは、しばしばオープンソースのaiソフトウェアプロジェクトの異なるフェーズとそれぞれの脆弱性の強度を分類する。 これらの新たなコードオーナシップメトリクスによって、プロジェクトのキュレーターや品質保証の専門家がオンサイトプロジェクトの評価とベンチマークを行うのを支援するために、pythonベースのコマンドラインアプリケーションを実装しました。 この研究は、オープンソースのAIプロジェクトのセキュリティの確保と測定のための継続的な研究開発を開始すると期待しています。

関連論文リスト

• $\textit{"I Don't Use AI for Everything"}$: Exploring Utility, Attitude, and Responsibility of AI-empowered Tools in Software Development [19.851794567529286]
  本研究では、ソフトウェア開発プロセスにおけるAIを活用したツールの採用、影響、およびセキュリティに関する考察を行う。 ソフトウェア開発のさまざまな段階において,AIツールが広く採用されていることが判明した。
  論文  参考訳（メタデータ） (2024-09-20T09:17:10Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• Trust, but Verify: Evaluating Developer Behavior in Mitigating Security Vulnerabilities in Open-Source Software Projects [0.11999555634662631]
  本研究では,オープンソースソフトウェア(OSS)プロジェクトの依存関係の脆弱性について検討する。 古い依存関係やメンテナンスされていない依存関係に共通する問題を特定しました。 その結果, 直接的な依存関係の削減と, 強力なセキュリティ記録を持つ高度に確立されたライブラリの優先順位付けが, ソフトウェアセキュリティの状況を改善する効果的な戦略であることが示唆された。
  論文  参考訳（メタデータ） (2024-08-26T13:46:48Z)
• Agent-Driven Automatic Software Improvement [55.2480439325792]
  本提案は,Large Language Models (LLMs) を利用したエージェントの展開に着目して,革新的なソリューションの探求を目的とする。 継続的学習と適応を可能にするエージェントの反復的性質は、コード生成における一般的な課題を克服するのに役立ちます。 我々は,これらのシステムにおける反復的なフィードバックを用いて,エージェントの基盤となるLLMをさらに微調整し,自動化されたソフトウェア改善のタスクに整合性を持たせることを目指している。
  論文  参考訳（メタデータ） (2024-06-24T15:45:22Z)
• Risks and Opportunities of Open-Source Generative AI [64.86989162783648]
  Generative AI(Gen AI)の応用は、科学や医学、教育など、さまざまな分野に革命をもたらすことが期待されている。 こうした地震の変化の可能性は、この技術の潜在的なリスクについて活発に議論を巻き起こし、より厳格な規制を要求した。 この規制は、オープンソースの生成AIの誕生する分野を危険にさらす可能性がある。
  論文  参考訳（メタデータ） (2024-05-14T13:37:36Z)
• Open-Source AI-based SE Tools: Opportunities and Challenges of Collaborative Software Learning [23.395624804517034]
  大規模言語モデル(LLM)は、ソフトウェア工学(SE)タスクの進展に役立っている。 これらのAIベースのSEモデルのコラボレーションは、高品質なデータソースの最大化に重点を置いている。 特に高品質のデータは、しばしば商業的または機密性の高い価値を持ち、オープンソースAIベースのSEプロジェクトではアクセスできない。
  論文  参考訳（メタデータ） (2024-04-09T10:47:02Z)
• Embedded Software Development with Digital Twins: Specific Requirements for Small and Medium-Sized Enterprises [55.57032418885258]
  デジタル双生児は、コスト効率の良いソフトウェア開発とメンテナンス戦略の可能性を秘めている。 私たちは中小企業に現在の開発プロセスについてインタビューした。 最初の結果は、リアルタイムの要求が、これまでは、Software-in-the-Loop開発アプローチを妨げていることを示している。
  論文  参考訳（メタデータ） (2023-09-17T08:56:36Z)
• State-Of-The-Practice in Quality Assurance in Java-Based Open Source Software Development [3.4800665691198565]
  我々は、GitHub上の1,454の人気のあるオープンソースプロジェクトの開発において、品質保証アプローチが併用されているかどうかを調査する。 我々の研究は、一般的にプロジェクトは高強度で全ての品質保証プラクティスに従わないことを示唆している。 一般的に、我々の研究は、Javaベースのオープンソースソフトウェア開発において、既存の品質保証アプローチがどのように使われているか、より深く理解しています。
  論文  参考訳（メタデータ） (2023-06-16T07:43:11Z)
• CodeLMSec Benchmark: Systematically Evaluating and Finding Security Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
  自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。 これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。 この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
  論文  参考訳（メタデータ） (2023-02-08T11:54:07Z)
• "Project smells" -- Experiences in Analysing the Software Quality of ML Projects with mllint [6.0141405230309335]
  ソフトウェアの品質に関するより包括的な視点として,プロジェクトマネジメントにおける欠陥を考慮に入れた,プロジェクト臭いという新しい概念を紹介します。 オープンソースの静的解析ツールmllintも、これらの検出と緩和を支援するために実装されている。 この結果から,現在開発中のプロジェクトのニーズに適合する文脈対応静的解析ツールの必要性が示唆された。
  論文  参考訳（メタデータ） (2022-01-20T15:52:24Z)
• Uncertainty Quantification 360: A Holistic Toolkit for Quantifying and Communicating the Uncertainty of AI [49.64037266892634]
  我々は、AIモデルの不確実性定量化のためのオープンソースのPythonツールキットUncertainty Quantification 360 (UQ360)について述べる。 このツールキットの目標は2つある: ひとつは、AIアプリケーション開発ライフサイクルにおける不確実性を定量化し、評価し、改善し、伝達する共通のプラクティスを育むとともに、合理化するための幅広い能力を提供すること、もうひとつは、信頼できるAIの他の柱とのUQの接続をさらに探求することである。
  論文  参考訳（メタデータ） (2021-06-02T18:29:04Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。