論文の概要: Automating SBOM Generation with Zero-Shot Semantic Similarity
- arxiv url: http://arxiv.org/abs/2403.08799v1
- Date: Sat, 3 Feb 2024 18:14:13 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-18 05:40:54.656693
- Title: Automating SBOM Generation with Zero-Shot Semantic Similarity
- Title(参考訳): ゼロショットセマンティック類似性を用いたSBOM自動生成
- Authors: Devin Pereira, Christopher Molloy, Sudipta Acharya, Steven H. H. Ding,
- Abstract要約: Software-Bill-of-Materials (SBOM)は、ソフトウェアアプリケーションのコンポーネントと依存関係を詳述した総合的なインベントリである。
本稿では,破壊的なサプライチェーン攻撃を防止するため,SBOMを自動生成する手法を提案する。
テスト結果は説得力があり、ゼロショット分類タスクにおけるモデルの性能を示す。
- 参考スコア(独自算出の注目度): 2.169562514302842
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: It is becoming increasingly important in the software industry, especially with the growing complexity of software ecosystems and the emphasis on security and compliance for manufacturers to inventory software used on their systems. A Software-Bill-of-Materials (SBOM) is a comprehensive inventory detailing a software application's components and dependencies. Current approaches rely on case-based reasoning to inconsistently identify the software components embedded in binary files. We propose a different route, an automated method for generating SBOMs to prevent disastrous supply-chain attacks. Remaining on the topic of static code analysis, we interpret this problem as a semantic similarity task wherein a transformer model can be trained to relate a product name to corresponding version strings. Our test results are compelling, demonstrating the model's strong performance in the zero-shot classification task, further demonstrating the potential for use in a real-world cybersecurity context.
- Abstract(参考訳): ソフトウェア業界では、特にソフトウェアエコシステムの複雑さの増大と、メーカがシステムで使用するソフトウェアを在庫する際のセキュリティとコンプライアンスの重視により、ますます重要になっている。
Software-Bill-of-Materials (SBOM)は、ソフトウェアアプリケーションのコンポーネントと依存関係を詳述した総合的なインベントリである。
現在のアプローチは、バイナリファイルに埋め込まれたソフトウェアコンポーネントを矛盾なく識別するケースベースの推論に依存している。
本稿では,SBOMを自動生成し,破壊的なサプライチェーン攻撃を防止する方法として,異なる経路を提案する。
静的コード解析のトピックに留まり、この問題を意味的類似性タスクとして解釈し、トランスフォーマーモデルで製品名と対応するバージョン文字列を関連付けるように訓練する。
テスト結果は説得力があり、ゼロショット分類タスクにおけるモデルの強いパフォーマンスを示し、現実世界のサイバーセキュリティコンテキストでの使用の可能性を示しています。
関連論文リスト
- OmniBOR: A System for Automatic, Verifiable Artifact Resolution across
Software Supply Chains [0.0]
OmniBORは、アーティファクト依存グラフを作成するためのビルドツールのための最小限のスキームである。
我々は,OmniBORのアーキテクチャ,基礎となるデータ表現,およびOmniBORデータを生成して構築されたソフトウェアに組み込む2つの実装を紹介する。
論文 参考訳(メタデータ) (2024-02-14T06:50:16Z) - Software Repositories and Machine Learning Research in Cyber Security [0.0]
堅牢なサイバーセキュリティ防衛の統合は、ソフトウェア開発のあらゆる段階において不可欠になっている。
ソフトウェア要件プロセスにおけるこれらの初期段階の脆弱性の検出にトピックモデリングと機械学習を活用する試みが実施されている。
論文 参考訳(メタデータ) (2023-11-01T17:46:07Z) - Using Machine Learning To Identify Software Weaknesses From Software
Requirement Specifications [49.1574468325115]
本研究は、要求仕様からソフトウェア弱点を特定するための効率的な機械学習アルゴリズムを見つけることに焦点を当てる。
ProMISE_exp. Naive Bayes、サポートベクターマシン(SVM)、決定木、ニューラルネットワーク、畳み込みニューラルネットワーク(CNN)アルゴリズムをテストした。
論文 参考訳(メタデータ) (2023-08-10T13:19:10Z) - A Novel Approach to Identify Security Controls in Source Code [4.598579706242066]
本稿では,一般的なセキュリティ制御の包括的リストを列挙し,それぞれにデータセットを作成する。
最新のNLP技術であるBERT(Bidirectional Representations from Transformers)とTactic Detector(Tactic Detector)を使って、セキュリティコントロールを高い信頼性で識別できることを示しています。
論文 参考訳(メタデータ) (2023-07-10T21:14:39Z) - CodeLMSec Benchmark: Systematically Evaluating and Finding Security
Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。
これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。
この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
論文 参考訳(メタデータ) (2023-02-08T11:54:07Z) - MMRNet: Improving Reliability for Multimodal Object Detection and
Segmentation for Bin Picking via Multimodal Redundancy [68.7563053122698]
マルチモーダル冗長性(MMRNet)を用いた信頼度の高いオブジェクト検出・分割システムを提案する。
これは、マルチモーダル冗長の概念を導入し、デプロイ中のセンサ障害問題に対処する最初のシステムである。
システム全体の出力信頼性と不確実性を測定するために,すべてのモダリティからの出力を利用する新しいラベルフリーマルチモーダル整合性(MC)スコアを提案する。
論文 参考訳(メタデータ) (2022-10-19T19:15:07Z) - On a Uniform Causality Model for Industrial Automation [61.303828551910634]
産業自動化の様々な応用分野に対する一様因果モデルを提案する。
得られたモデルは、サイバー物理システムの振る舞いを数学的に記述する。
このモデルは、機械学習に焦点を当てた産業自動化における新しいアプローチの応用の基盤として機能することが示されている。
論文 参考訳(メタデータ) (2022-09-20T11:23:51Z) - Realistic simulation of users for IT systems in cyber ranges [63.20765930558542]
ユーザアクティビティを生成するために,外部エージェントを用いて各マシンを計測する。
このエージェントは、決定論的および深層学習に基づく手法を組み合わせて、異なる環境に適応する。
また,会話や文書の作成を容易にする条件付きテキスト生成モデルを提案する。
論文 参考訳(メタデータ) (2021-11-23T10:53:29Z) - Software Vulnerability Detection via Deep Learning over Disaggregated
Code Graph Representation [57.92972327649165]
この研究は、コードコーパスから安全でないパターンを自動的に学習するためのディープラーニングアプローチを探求する。
コードには解析を伴うグラフ構造が自然に認められるため,プログラムの意味的文脈と構造的規則性の両方を利用する新しいグラフニューラルネットワーク(GNN)を開発する。
論文 参考訳(メタデータ) (2021-09-07T21:24:36Z) - Detecting Security Fixes in Open-Source Repositories using Static Code
Analyzers [8.716427214870459]
機械学習(ML)アプリケーションにおけるコミットを表現する機能として,既製の静的コードアナライザの出力がどの程度使用されるかを検討する。
埋め込みの構築やMLモデルをトレーニングして、脆弱性修正を含むソースコードコミットを自動的に識別する方法について検討する。
当社のメソッドとcommit2vecの組み合わせは,脆弱性を修正するコミットの自動識別において,最先端技術よりも明確な改善であることがわかった。
論文 参考訳(メタデータ) (2021-05-07T15:57:17Z) - MalBERT: Using Transformers for Cybersecurity and Malicious Software
Detection [0.0]
注意に基づくディープラーニング技術のカテゴリであるtransformersは、最近、さまざまなタスクを解決する素晴らしい結果を示している。
本研究では,android アプリケーションのソースコードの静的解析を行う bert (bi representations from transformers) に基づくモデルを提案する。
得られた結果は、悪意のあるソフトウェア検出のためのTransformerベースのモデルによって得られた高い性能を示す。
論文 参考訳(メタデータ) (2021-03-05T17:09:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。