論文の概要: PPT4J: Patch Presence Test for Java Binaries

• arxiv url: http://arxiv.org/abs/2312.11013v2
• Date: Mon, 15 Jan 2024 05:16:22 GMT
• ステータス: 処理完了
• システム内更新日: 2024-01-18 00:26:52.222578
• Title: PPT4J: Patch Presence Test for Java Binaries
• Title（参考訳）: PPT4J: Javaバイナリのパッチ存在テスト
• Authors: Zhiyuan Pan, Xing Hu, Xin Xia, Xian Zhan, David Lo, Xiaohu Yang
• Abstract要約: 近年,オープンソースソフトウェアに報告されている脆弱性の数は大幅に増加している。 対象のバイナリにパッチを適用するかどうかをテストする能力、すなわちパッチの存在テストは、実践者にとって不可欠である。 PPT4J(textbfP$atch $textbfP$resence $textbfT$est $textbffor$textbfJ$ava Binaries)という新しいパッチ存在テストフレームワークを提案する。
• 参考スコア（独自算出の注目度）: 15.297767260561491
• License: http://creativecommons.org/licenses/by-nc-nd/4.0/
• Abstract: The number of vulnerabilities reported in open source software has increased substantially in recent years. Security patches provide the necessary measures to protect software from attacks and vulnerabilities. In practice, it is difficult to identify whether patches have been integrated into software, especially if we only have binary files. Therefore, the ability to test whether a patch is applied to the target binary, a.k.a. patch presence test, is crucial for practitioners. However, it is challenging to obtain accurate semantic information from patches, which could lead to incorrect results. In this paper, we propose a new patch presence test framework named PPT4J ($\textbf{P}$atch $\textbf{P}$resence $\textbf{T}$est $\textbf{for}$ $\textbf{J}$ava Binaries). PPT4J is designed for open-source Java libraries. It takes Java binaries (i.e. bytecode files) as input, extracts semantic information from patches, and uses feature-based techniques to identify patch lines in the binaries. To evaluate the effectiveness of our proposed approach PPT4J, we construct a dataset with binaries that include 110 vulnerabilities. The results show that PPT4J achieves an F1 score of 98.5% with reasonable efficiency, improving the baseline by 14.2%. Furthermore, we conduct an in-the-wild evaluation of PPT4J on JetBrains IntelliJ IDEA. The results suggest that a third-party library included in the software is not patched for two CVEs, and we have reported this potential security problem to the vendor.
• Abstract（参考訳）: オープンソースソフトウェアで報告されている脆弱性の数は近年大幅に増加している。 セキュリティパッチは、ソフトウェアを攻撃や脆弱性から守るために必要な手段を提供する。 実際には、特にバイナリファイルしか持たない場合、パッチがソフトウェアに統合されているかどうかを特定するのは難しい。 したがって、対象のバイナリ、すなわちパッチ存在テストにパッチを適用するかどうかをテストする能力は、実践者にとって不可欠である。 しかし、パッチから正確な意味情報を得るのは難しいため、誤った結果につながる可能性がある。 本稿では,ppt4j(\textbf{p}$atch$\textbf{p}$resence$\textbf{t}$est$\textbf{for}$$\textbf{j}$avaバイナリ)という新しいパッチ存在テストフレームワークを提案する。 PPT4JはオープンソースのJavaライブラリ用に設計されている。 Javaバイナリ(バイトコードファイル)を入力として、パッチから意味情報を抽出し、機能ベースの技術を使ってバイナリ内のパッチ線を識別する。 提案手法の有効性を評価するため,110個の脆弱性を含むバイナリを持つデータセットを構築した。 その結果、ppt4jは有効効率で98.5%のf1スコアを達成し、ベースラインを14.2%向上した。 さらに,JetBrains IntelliJ IDEA 上で PPT4J の評価を行う。 その結果、ソフトウェアに含まれるサードパーティ製ライブラリが2つのCVEにパッチされていないことが示唆され、この潜在的なセキュリティ問題をベンダーに報告しました。

関連論文リスト

• PatchFinder: A Two-Phase Approach to Security Patch Tracing for Disclosed Vulnerabilities in Open-Source Software [15.867607171943698]
  本稿では,エンドツーエンドの相関学習を併用した2段階のフレームワークを提案する。 PatchFinderは80.63%のRecall@10、平均相反ランク(MRR)は0.7951である。 PatchFinderを実際に適用する場合、最初は533件のパッチコミットを特定し、公式に送ったのですが、そのうち482件はCVE Numbering Authoritiesによって確認されました。
  論文  参考訳（メタデータ） (2024-07-24T07:46:24Z)
• Path-wise Vulnerability Mitigation [3.105656247358225]
  本稿では,プログラムパスのレベルで緩和パッチを生成し挿入するPAVERという手法について述べる。 各候補パッチ位置について、PAVERは緩和パッチを生成して挿入し、パッチされたプログラムをテストして副作用を評価する。 実世界の脆弱性に対するPAVERのプロトタイプを評価し,我々のパスワイド脆弱性軽減パッチが副作用を最小限に抑えることを示す。
  論文  参考訳（メタデータ） (2024-05-25T22:58:37Z)
• FoC: Figure out the Cryptographic Functions in Stripped Binaries with LLMs [54.27040631527217]
  削除されたバイナリの暗号関数を抽出するFoCと呼ばれる新しいフレームワークを提案する。 FoC-BinLLMは、ROUGE-LスコアでChatGPTを14.61%上回った。 FoC-Simは52%高いRecall@1で過去のベストメソッドを上回っている。
  論文  参考訳（メタデータ） (2024-03-27T09:45:33Z)
• A Novel Approach for Automatic Program Repair using Round-Trip Translation with Large Language Models [50.86686630756207]
  研究によると、ある文の文法的誤りは、それを他の言語に翻訳し、その語を返せば修正できる。 現在の自動プログラム修復(APR)生成モデルは、ソースコードで事前訓練され、修正のために微調整されている。 本稿では,あるプログラミング言語から別のプログラミング言語,あるいは自然言語へのコード変換,そして,その逆といった,微調整ステップをバイパスし,ラウンド・トリップ変換(RTT)を用いる手法を提案する。
  論文  参考訳（メタデータ） (2024-01-15T22:36:31Z)
• PS$^3$: Precise Patch Presence Test based on Semantic Symbolic Signature [13.9637348151437]
  既存のアプローチは主に、同じコンパイラオプションでコンパイルされるパッチの検出に重点を置いている。 PS3はシンボルエミュレーションを利用して、異なるコンパイラオプションの下で安定なシグネチャを抽出する。 PS3は精度、リコール、F1のスコアで0.82、0.97、0.89のスコアを得る。
  論文  参考訳（メタデータ） (2023-12-06T10:04:15Z)
• Jailbreaking GPT-4V via Self-Adversarial Attacks with System Prompts [64.60375604495883]
  GPT-4Vでは,システムに侵入する脆弱性が発見された。 GPT-4を自身に対するレッド・チーム・ツールとして活用することで、盗難システムプロンプトを利用した脱獄プロンプトの可能性を探索することを目指している。 また,システムプロンプトの変更による脱獄攻撃に対する防御効果も評価した。
  論文  参考訳（メタデータ） (2023-11-15T17:17:39Z)
• RAP-Gen: Retrieval-Augmented Patch Generation with CodeT5 for Automatic Program Repair [75.40584530380589]
  新たな検索型パッチ生成フレームワーク(RAP-Gen)を提案する。 RAP-Gen 以前のバグ修正ペアのリストから取得した関連する修正パターンを明示的に活用する。 RAP-GenをJavaScriptのTFixベンチマークとJavaのCode RefinementとDefects4Jベンチマークの2つのプログラミング言語で評価する。
  論文  参考訳（メタデータ） (2023-09-12T08:52:56Z)
• Can Large Language Models Find And Fix Vulnerable Software? [0.0]
  GPT-4は、その脆弱性の約4倍の脆弱性を同定した。 各脆弱性に対して実行可能な修正を提供し、偽陽性率の低いことを証明した。 GPT-4のコード修正により脆弱性の90%が減少し、コード行数はわずか11%増加した。
  論文  参考訳（メタデータ） (2023-08-20T19:33:12Z)
• Segment and Complete: Defending Object Detectors against Adversarial Patch Attacks with Robust Patch Detection [142.24869736769432]
  敵のパッチ攻撃は最先端の物体検出器に深刻な脅威をもたらす。 パッチ攻撃に対して物体検出器を防御するフレームワークであるSegment and Complete Defense (SAC)を提案する。 SACは、物理的パッチ攻撃の標的攻撃成功率を著しく低減できることを示す。
  論文  参考訳（メタデータ） (2021-12-08T19:18:48Z)
• DPT: Deformable Patch-based Transformer for Visual Recognition [57.548916081146814]
  本稿では,デフォルマブルパッチ (Deformable Patch) モジュールを提案する。デフォルマブルパッチ(Deformable Patch, DePatch)モジュールは,画像を異なる位置とスケールのパッチに適応的に分割し,データ駆動方式でスケールする。 DePatchモジュールはプラグイン・アンド・プレイモジュールとして動作し、異なるトランスフォーマーに簡単に組み込んでエンドツーエンドのトレーニングを実現することができる。
  論文  参考訳（メタデータ） (2021-07-30T07:33:17Z)
• Exploring Plausible Patches Using Source Code Embeddings in JavaScript [1.3327130030147563]
  オープンソースJavaScriptプロジェクトでDoc2Vecモデルをトレーニングし、10のバグに対して465のパッチを生成しました。 これらの正当なパッチと開発者修正は、元のプログラムとの類似性に基づいてランク付けされる。 これらの類似性リストを分析し、プレーンな文書埋め込みが誤分類につながる可能性があることを発見した。
  論文  参考訳（メタデータ） (2021-03-31T06:57:10Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。