論文の概要: Identifying Smart Contract Security Issues in Code Snippets from Stack Overflow

• arxiv url: http://arxiv.org/abs/2407.13271v2
• Date: Tue, 23 Jul 2024 09:47:31 GMT
• ステータス: 処理完了
• システム内更新日: 2024-07-24 12:19:26.384371
• Title: Identifying Smart Contract Security Issues in Code Snippets from Stack Overflow
• Title（参考訳）: Stack Overflowによるコードスニペットのスマートコントラクトセキュリティ問題の検出
• Authors: Jiachi Chen, Chong Chen, Jiang Hu, John Grundy, Yanlin Wang, Ting Chen, Zibin Zheng,
• Abstract要約: SOCheckerは、不完全なSOスマートコントラクトコードスニペットの潜在的な脆弱性を特定するツールである。 その結果、SOCheckerのF1スコアは68.2%で、GPT-3.5とGPT-4を大きく上回った。 この結果から,Q&A Webサイトのコードスニペットのセキュリティ向上の必要性が浮き彫りになった。
• 参考スコア（独自算出の注目度）: 34.79673982473015
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Smart contract developers frequently seek solutions to developmental challenges on Q&A platforms such as Stack Overflow (SO). Although community responses often provide viable solutions, the embedded code snippets can also contain hidden vulnerabilities. Integrating such code directly into smart contracts may make them susceptible to malicious attacks. We conducted an online survey and received 74 responses from smart contract developers. The results of this survey indicate that the majority (86.4%) of participants do not sufficiently consider security when reusing SO code snippets. Despite the existence of various tools designed to detect vulnerabilities in smart contracts, these tools are typically developed for analyzing fully-completed smart contracts and thus are ineffective for analyzing typical code snippets as found on SO. We introduce SOChecker, the first tool designed to identify potential vulnerabilities in incomplete SO smart contract code snippets. SOChecker first leverages a fine-tuned Llama2 model for code completion, followed by the application of symbolic execution methods for vulnerability detection. Our experimental results, derived from a dataset comprising 897 code snippets collected from smart contract-related SO posts, demonstrate that SOChecker achieves an F1 score of 68.2%, greatly surpassing GPT-3.5 and GPT-4 (20.9% and 33.2% F1 Scores respectively). Our findings underscore the need to improve the security of code snippets from Q&A websites.
• Abstract（参考訳）: スマートコントラクト開発者は、Stack Overflow(SO)など、Q&Aプラットフォームにおける開発上の課題に対する解決策を探すことが多い。 コミュニティ対応はしばしば実行可能なソリューションを提供するが、組み込みコードスニペットには隠れた脆弱性も含まれている。 このようなコードをスマートコントラクトに直接統合することで、悪意のある攻撃を受けやすい可能性がある。 オンライン調査を行い、スマートコントラクト開発者から74の回答を得た。 この調査の結果、参加者の過半数(86.4%)がSOコードスニペットの再利用時にセキュリティを十分に考慮していないことが示唆された。 スマートコントラクトの脆弱性を検出するために設計されたさまざまなツールが存在するにもかかわらず、これらのツールは一般的に、完全に完成したスマートコントラクトを分析するために開発されており、SOで見られる典型的なコードスニペットを分析するのに効果がない。 SOCheckerは、不完全なSOスマートコントラクトコードスニペットの潜在的な脆弱性を特定するために設計された最初のツールである。 SOCheckerはまずコード補完のために微調整されたLlama2モデルを利用し、続いて脆弱性検出にシンボル実行メソッドを適用する。 スマートコントラクト関連SOポストから収集した897個のコードスニペットからなるデータセットから得られた実験結果から,SOCheckerのF1スコアは68.2%,GPT-3.5とGPT-4を大きく上回った(20.9%,33.2%)。 この結果から,Q&A Webサイトのコードスニペットのセキュリティ向上の必要性が浮き彫りになった。

関連論文リスト

• RedCode: Risky Code Execution and Generation Benchmark for Code Agents [50.81206098588923]
  RedCodeはリスクの高いコード実行と生成のためのベンチマークである。 RedCode-Execは、危険なコード実行につながる可能性のある、挑戦的なプロンプトを提供する。 RedCode-Genは160のプロンプトに関数シグネチャとドキュメントを入力として提供し、コードエージェントが命令に従うかどうかを評価する。
  論文  参考訳（メタデータ） (2024-11-12T13:30:06Z)
• Understanding Code Understandability Improvements in Code Reviews [79.16476505761582]
  GitHub上のJavaオープンソースプロジェクトからの2,401のコードレビューコメントを分析した。 改善提案の83.9%が承認され、統合され、1%未満が後に復活した。
  論文  参考訳（メタデータ） (2024-10-29T12:21:23Z)
• Analyzing the Impact of Copying-and-Pasting Vulnerable Solidity Code Snippets from Question-and-Answer Websites [3.844857617939819]
  スマートコントラクトの開発において,Q&A Webサイトから脆弱性のあるコード再利用が与える影響について検討する。 本稿では,コードスニペット(不完全なコード)を解析できるパターンベースの脆弱性検出ツールと,完全なスマートコントラクトを提案する。 以上の結果から,コードスニペットに適用可能な脆弱性検索とコードクローン検出は,最先端のコードスニペットに匹敵することがわかった。
  論文  参考訳（メタデータ） (2024-09-11T19:33:27Z)
• Vulseye: Detect Smart Contract Vulnerabilities via Stateful Directed Graybox Fuzzing [15.974697197575304]
  Vulseyeは、脆弱性によってガイドされるスマートコントラクトのためのステートフルな指示付きグレーボックスファザである。 我々は、Vulseyeのテストターゲットとして、Code TargetsとState Targetsをファジリングループに導入する。 最先端のファッツェと比較して、ヴァルゼーは優れた効果と効率を示した。
  論文  参考訳（メタデータ） (2024-08-19T16:03:03Z)
• Static Application Security Testing (SAST) Tools for Smart Contracts: How Far Are We? [14.974832502863526]
  近年,スマートコントラクトセキュリティの重要性が高まっている。 この問題に対処するため、スマートコントラクトの脆弱性を検出するために、多数の静的アプリケーションセキュリティテスト(SAST)ツールが提案されている。 本稿では,スマートコントラクトに対する45種類の脆弱性を含む,最新のきめ細かな分類法を提案する。
  論文  参考訳（メタデータ） (2024-04-28T13:40:18Z)
• Vulnerabilities of smart contracts and mitigation schemes: A Comprehensive Survey [0.6554326244334866]
  本稿では,開発者がセキュアなスマート技術を開発するのを支援することを目的とした,文献レビューと実験報告を組み合わせる。 頻繁な脆弱性とそれに対応する緩和ソリューションのリストを提供する。 サンプルのスマートコントラクト上でそれらを実行し、テストすることで、コミュニティが最も広く使用しているツールを評価します。
  論文  参考訳（メタデータ） (2024-03-28T19:36:53Z)
• Efficiently Detecting Reentrancy Vulnerabilities in Complex Smart Contracts [35.26195628798847]
  既存の脆弱性検出ツールは、複雑なコントラクトにおける脆弱性の効率性や検出成功率の面では不十分である。 SliSEは、複雑なコントラクトに対するReentrancy脆弱性を検出する堅牢で効率的な方法を提供する。
  論文  参考訳（メタデータ） (2024-03-17T16:08:30Z)
• Zero-Shot Detection of Machine-Generated Codes [83.0342513054389]
  本研究は,LLMの生成したコードを検出するためのトレーニング不要な手法を提案する。 既存のトレーニングベースまたはゼロショットテキスト検出装置は、コード検出に効果がないことがわかった。 本手法は,リビジョン攻撃に対する堅牢性を示し,Javaコードによく適応する。
  論文  参考訳（メタデータ） (2023-10-08T10:08:21Z)
• Generation Probabilities Are Not Enough: Uncertainty Highlighting in AI Code Completions [54.55334589363247]
  本研究では,不確実性に関する情報を伝達することで,プログラマがより迅速かつ正確にコードを生成することができるかどうかを検討する。 トークンのハイライトは、編集される可能性が最も高いので、タスクの完了が早くなり、よりターゲットを絞った編集が可能になることがわかりました。
  論文  参考訳（メタデータ） (2023-02-14T18:43:34Z)
• ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning [80.85273827468063]
  既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。 スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。 ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
  論文  参考訳（メタデータ） (2021-03-23T15:04:44Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。