論文の概要: Analyzing and Mitigating (with LLMs) the Security Misconfigurations of Helm Charts from Artifact Hub
- arxiv url: http://arxiv.org/abs/2403.09537v1
- Date: Thu, 14 Mar 2024 16:26:40 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-15 19:47:59.950822
- Title: Analyzing and Mitigating (with LLMs) the Security Misconfigurations of Helm Charts from Artifact Hub
- Title(参考訳): アーティファクトハブからのHelmチャートのセキュリティミス設定の分析と修正(LLMによる)
- Authors: Francesco Minna, Fabio Massacci, Katja Tuma,
- Abstract要約: Helmは(K8s)アプリケーションの定義、インストール、アップグレードを可能にするパッケージマネージャである。
Helmチャートは、K8sクラスタ内にアプリケーションをデプロイするために必要なすべての依存関係、リソース、パラメータを記述するファイルの集合である。
- 参考スコア(独自算出の注目度): 6.218417024312705
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Background: Helm is a package manager that allows defining, installing, and upgrading applications with Kubernetes (K8s), a popular container orchestration platform. A Helm chart is a collection of files describing all dependencies, resources, and parameters required for deploying an application within a K8s cluster. Objective: The goal of this study is to mine and empirically evaluate the security of Helm charts, comparing the performance of existing tools in terms of misconfigurations reported by policies available by default, and measure to what extent LLMs could be used for removing misconfiguration. We also want to investigate whether there are false positives in both the LLM refactorings and the tool outputs. Method: We propose a pipeline to mine Helm charts from Artifact Hub, a popular centralized repository, and analyze them using state-of-the-art open-source tools, such as Checkov and KICS. First, such a pipeline will run several chart analyzers and identify the common and unique misconfigurations reported by each tool. Secondly, it will use LLMs to suggest mitigation for each misconfiguration. Finally, the chart refactoring previously generated will be analyzed again by the same tools to see whether it satisfies the tool's policies. At the same time, we will also perform a manual analysis on a subset of charts to evaluate whether there are false positive misconfigurations from the tool's reporting and in the LLM refactoring.
- Abstract(参考訳): 背景: Helmは、一般的なコンテナオーケストレーションプラットフォームであるKubernetes(K8s)によるアプリケーションの定義、インストール、アップグレードを可能にするパッケージマネージャである。
Helmチャートは、K8sクラスタ内にアプリケーションをデプロイするために必要なすべての依存関係、リソース、パラメータを記述するファイルの集合である。
目的:本研究の目的は,Helmチャートのセキュリティを実験的に評価し,既定で利用可能なポリシによって報告される設定ミスの観点から既存のツールのパフォーマンスを比較し,ミスコンフィグレーションの除去にLLMがどの程度使用されるかを測定することである。
また、LLMリファクタリングとツールアウトプットの両方に偽陽性があるかどうかについても検討したいと考えています。
方法: 一般的な集中リポジトリであるArtifact HubからHelmチャートをマイニングするパイプラインを提案し,それをCheckovやKICSといった最先端のオープンソースツールを用いて解析する。
まず、そのようなパイプラインはいくつかのチャートアナライザを実行し、各ツールから報告される共通かつユニークな設定を識別する。
次に、LLMを使用して、設定ミスの緩和を提案する。
最後に、以前生成されたチャートリファクタリングは、ツールのポリシーを満たすかどうかを確認するために、同じツールによって再度分析される。
同時に、ツールのレポートやLLMリファクタリングに偽陽性の誤設定があるかどうかを評価するために、チャートのサブセットを手動で分析する。
関連論文リスト
- TableLLM: Enabling Tabular Data Manipulation by LLMs in Real Office Usage Scenarios [52.73289223176475]
TableLLMは、13億のパラメータを持つ堅牢な大規模言語モデル(LLM)である。
TableLLMはデータ操作タスクを巧みに扱うために構築されている。
我々は、ユーザインタラクションのためのモデルチェックポイント、ソースコード、ベンチマーク、Webアプリケーションをリリースした。
論文 参考訳(メタデータ) (2024-03-28T11:21:12Z) - Metric-aware LLM inference for regression and scoring [52.764328080398805]
大規模言語モデル(LLM)は、様々なNLPタスクに対して強い結果を示してきた。
我々は,この推論戦略が,様々な回帰・スコアリングタスクや関連する評価指標に最適であることを示す。
我々は、カスタム回帰を最適化し、推定時にメトリクスをスコアリングする決定論的アプローチである、意識的距離 LLM 推論を提案する。
論文 参考訳(メタデータ) (2024-03-07T03:24:34Z) - Efficient Tool Use with Chain-of-Abstraction Reasoning [65.18096363216574]
大規模言語モデル(LLM)は、現実世界の知識に対する推論の基礎となる必要がある。
マルチステップ推論問題におけるツールの実行には,微調整LDMエージェントの課題が残されている。
マルチステップ推論におけるツールの活用方法として, LLM の新しい手法を提案する。
論文 参考訳(メタデータ) (2024-01-30T21:53:30Z) - EASYTOOL: Enhancing LLM-based Agents with Concise Tool Instruction [56.02100384015907]
EasyToolは、多種多様で長いツールドキュメントを統一的で簡潔なツール命令に変換するフレームワークである。
トークン使用量を大幅に削減し、現実のシナリオにおけるツール利用のパフォーマンスを向上させることができる。
論文 参考訳(メタデータ) (2024-01-11T15:45:11Z) - MetaTool Benchmark for Large Language Models: Deciding Whether to Use
Tools and Which to Use [82.24774504584066]
大規模言語モデル(LLM)は、その印象的な自然言語処理(NLP)能力のために大きな注目を集めている。
このベンチマークは、LLMがツールの使用意識を持ち、ツールを正しく選択できるかどうかを評価するためのものだ。
8つの人気のあるLCMを巻き込んだ実験を行い、その大半は依然として効果的にツールを選択するのに苦労していることがわかった。
論文 参考訳(メタデータ) (2023-10-04T19:39:26Z) - scg-cli -- a Tool Supporting Software Comprehension via Extraction and
Analysis of Semantic Code Graph [0.0]
scg-cliは、ソフトウェアの理解を容易にするコマンドラインツールである。
JavaおよびScalaプロジェクトから、コード構造と依存関係に関するセマンティック情報を取り出す。
プロジェクトメトリクスを取得し、最も重要なコードエンティティを見つけ、プロジェクトのパーティショニングを計算するのに使うことができる。
論文 参考訳(メタデータ) (2023-10-03T19:04:51Z) - CRAFT: Customizing LLMs by Creating and Retrieving from Specialized
Toolsets [75.64181719386497]
大規模言語モデル(LLM)のためのツール作成・検索フレームワークであるCRAFTを提案する。
タスク用に特別にキュレートされたツールセットを作成し、複雑なタスクを解決する能力を高めるためにこれらのセットからツールを取得するコンポーネントをLLMに装備する。
本手法はフレキシブルに設計されており,既製のLCMを細かな調整なしに未確認領域やモダリティに適応するためのプラグアンドプレイ方式を提供する。
論文 参考訳(メタデータ) (2023-09-29T17:40:26Z) - Detecting Security Fixes in Open-Source Repositories using Static Code
Analyzers [8.716427214870459]
機械学習(ML)アプリケーションにおけるコミットを表現する機能として,既製の静的コードアナライザの出力がどの程度使用されるかを検討する。
埋め込みの構築やMLモデルをトレーニングして、脆弱性修正を含むソースコードコミットを自動的に識別する方法について検討する。
当社のメソッドとcommit2vecの組み合わせは,脆弱性を修正するコミットの自動識別において,最先端技術よりも明確な改善であることがわかった。
論文 参考訳(メタデータ) (2021-05-07T15:57:17Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。