論文の概要: Where do developers admit their security-related concerns?

• arxiv url: http://arxiv.org/abs/2405.10902v1
• Date: Fri, 17 May 2024 16:43:58 GMT
• ステータス: 処理完了
• システム内更新日: 2024-05-20 15:34:03.794438
• Title: Where do developers admit their security-related concerns?
• Title（参考訳）: 開発者はセキュリティに関する懸念をどこで認めるのか?
• Authors: Moritz Mock, Thomas Forrer, Barbara Russo,
• Abstract要約: 産業環境で4つの大規模、現実世界、オープンソースプロジェクトから、さまざまなコードドキュメンテーションのソースを分析しました。 開発者がソースコードコメントやイシュートラッカにセキュリティ上の懸念を文書化するのを好むことがわかりました。
• 参考スコア（独自算出の注目度）: 0.8180494308743708
• License: http://creativecommons.org/licenses/by-nc-nd/4.0/
• Abstract: Developers use different means to document the security concerns of their code. Because of all of these opportunities, they may forget where the information is stored, or others may not be aware of it, and leave it unmaintained for so long that it becomes obsolete, if not useless. In this work, we analyzed different sources of code documentation from four large-scale, real-world, open-source projects in an industrial setting to understand where developers report their security concerns. In particular, we manually inspected 2.559 instances taken from source code comments, commit messages, and issue trackers. Overall, we found that developers prefer to document security concerns in source code comments and issue trackers. We also found that the longer the comments stay unfixed, the more likely they remain unfixed. Thus, to create awareness among developers, we implemented a pipeline to remind them about the introduction or removal of comments pointing to a security problem.
• Abstract（参考訳）: 開発者はコードのセキュリティ上の懸念を文書化するために異なる手段を使用する。 これらの機会がすべてあるため、情報はどこに保管されているのかを忘れたり、他の人々はそれを認識していないかもしれない。 本研究では,大規模で実世界のオープンソースの4つのプロジェクトから,開発者がセキュリティ上の懸念を報告した場所を理解するために,さまざまなソースのコードドキュメンテーションを分析した。 特に、ソースコードコメント、コミットメッセージ、イシュートラッカから取られた2.559のインスタンスを手動で検査しました。 全体として、開発者はソースコードコメントやイシュートラッカでセキュリティ上の懸念を文書化するのを好む。 また、コメントが修正されない期間が長ければ長いほど、修正されない可能性が高くなることもわかりました。 したがって、開発者間の意識を高めるために、セキュリティ問題を示すコメントの導入や削除について、パイプラインを実装しました。

関連論文リスト

• Drop it All or Pick it Up? How Developers Responded to the Log4JShell Vulnerability [5.164262886682181]
  われわれはLog4JShellの多種多様でおそらくその1つを探っている。 私たちの調査では、開発者は5日から6日間の迅速なレスポンスを示しています。 すべてを廃止する代わりに、驚くほど開発者の活動は、待ち望まれているすべての問題やPRに対して増加する傾向があります。
  論文  参考訳（メタデータ） (2024-07-05T05:33:10Z)
• Time to Separate from StackOverflow and Match with ChatGPT for Encryption [0.09208007322096533]
  セキュリティは開発者にとって最大の関心事ですが、セキュリティ問題はコードスニペットに広まっています。 ChatGPTは、開発者が適切に関わったときに効果的に助けることができる。
  論文  参考訳（メタデータ） (2024-06-10T10:56:59Z)
• DevEval: A Manually-Annotated Code Generation Benchmark Aligned with Real-World Code Repositories [83.5195424237358]
  既存のベンチマークは、現実世界のコードリポジトリと不整合である。 我々はDevEvalという新しいベンチマークを提案し、これは3つの進歩がある。 DevEvalは117のリポジトリから1,874のサンプルを持ち、10の人気のあるドメインをカバーする。
  論文  参考訳（メタデータ） (2024-05-30T09:03:42Z)
• CodeAttack: Revealing Safety Generalization Challenges of Large Language Models via Code Completion [117.178835165855]
  本稿では,自然言語入力をコード入力に変換するフレームワークであるCodeAttackを紹介する。 我々の研究は、コード入力に対するこれらのモデルの新たな、普遍的な安全性の脆弱性を明らかにした。 CodeAttackと自然言語の分布ギャップが大きくなると、安全性の一般化が弱くなる。
  論文  参考訳（メタデータ） (2024-03-12T17:55:38Z)
• Are your comments outdated? Towards automatically detecting code-comment consistency [3.204922482708544]
  古いコメントは危険で有害であり、その後の開発者を誤解させる可能性がある。 コードとコメントの一貫性を検出するための,CoCCと呼ばれる学習手法を提案する。 実験の結果,COCCは90%以上の精度で時代遅れのコメントを効果的に検出できることがわかった。
  論文  参考訳（メタデータ） (2024-03-01T03:30:13Z)
• Toward Effective Secure Code Reviews: An Empirical Study of Security-Related Coding Weaknesses [14.134803943492345]
  我々は OpenSSL と PHP の2つの大規模オープンソースプロジェクトで実証的なケーススタディを行った。 135,560のコードレビューコメントに基づいて、40のコーディング弱点カテゴリのうち35に、レビュー担当者がセキュリティ上の懸念を提起していることが分かりました。 メモリエラーやリソース管理といった過去の脆弱性に関連するコーディングの弱点は、脆弱性よりも少ない頻度で議論された。
  論文  参考訳（メタデータ） (2023-11-28T00:49:00Z)
• Rethinking People Analytics With Inverse Transparency by Design [57.67333075002697]
  我々は、デザインによる逆透過性(inverse transparency)と呼ぶ、労働分析のための新しい設計手法を提案する。 アーキテクチャの変更はコア機能を阻害することなく行われます。 我々は、デザインによる逆透明性は、受け入れられ、責任ある人々の分析を実現するための有望なアプローチである、と結論付けている。
  論文  参考訳（メタデータ） (2023-05-16T21:37:35Z)
• CodeLMSec Benchmark: Systematically Evaluating and Finding Security Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
  自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。 これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。 この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
  論文  参考訳（メタデータ） (2023-02-08T11:54:07Z)
• Untargeted Backdoor Watermark: Towards Harmless and Stealthy Dataset Copyright Protection [69.59980270078067]
  我々は,異常なモデル行動が決定論的でない,未目標のバックドア透かし方式を探索する。 また、提案した未ターゲットのバックドア透かしをデータセットのオーナシップ検証に利用する方法について論じる。
  論文  参考訳（メタデータ） (2022-09-27T12:56:56Z)
• Deep Just-In-Time Inconsistency Detection Between Comments and Source Code [51.00904399653609]
  本稿では,コード本体の変更によりコメントが矛盾するかどうかを検出することを目的とする。 私たちは、コメントとコードの変更を関連付けるディープラーニングアプローチを開発しています。 より包括的な自動コメント更新システムを構築するために,コメント更新モデルと組み合わせて提案手法の有用性を示す。
  論文  参考訳（メタデータ） (2020-10-04T16:49:28Z)
• Predicting Vulnerability In Large Codebases With Deep Code Representation [6.357681017646283]
  ソフトウェアエンジニアは様々なモジュールのコードを書きます。 過去に(異なるモジュールで)修正された同様の問題やバグも、本番コードで再び導入される傾向にある。 ソースコードから生成した抽象構文木(AST)の深部表現とアクティブフィードバックループを用いた,AIに基づく新しいシステムを開発した。
  論文  参考訳（メタデータ） (2020-04-24T13:18:35Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。