論文の概要: PatUntrack: Automated Generating Patch Examples for Issue Reports without Tracked Insecure Code
- arxiv url: http://arxiv.org/abs/2408.08619v1
- Date: Fri, 16 Aug 2024 09:19:27 GMT
- ステータス: 処理完了
- システム内更新日: 2024-08-19 16:07:32.368212
- Title: PatUntrack: Automated Generating Patch Examples for Issue Reports without Tracked Insecure Code
- Title(参考訳): PatUntrack: セキュアなコード追跡なしのイシューレポートのためのパッチの自動生成
- Authors: Ziyou Jiang, Lin Shi, Guowei Yang, Qing Wang,
- Abstract要約: 脆弱性のあるイシューレポート(IR)からパッチ例を自動的に生成するPatUntrackを提案する。
脆弱性のあるIRからVTP(Vulnerability-Triggering Path)の完全な記述を生成する。
その後、VTP記述の幻覚を外部の黄金の知識で修正する。
最後に、修正されたVTP記述に基づいて、セキュリティコードとパッチサンプルのTop-Kペアを生成する。
- 参考スコア(独自算出の注目度): 6.6821370571514525
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Security patches are essential for enhancing the stability and robustness of projects in the software community. While vulnerabilities are officially expected to be patched before being disclosed, patching vulnerabilities is complicated and remains a struggle for many organizations. To patch vulnerabilities, security practitioners typically track vulnerable issue reports (IRs), and analyze their relevant insecure code to generate potential patches. However, the relevant insecure code may not be explicitly specified and practitioners cannot track the insecure code in the repositories, thus limiting their ability to generate patches. In such cases, providing examples of insecure code and the corresponding patches would benefit the security developers to better locate and fix the insecure code. In this paper, we propose PatUntrack to automatically generating patch examples from IRs without tracked insecure code. It auto-prompts Large Language Models (LLMs) to make them applicable to analyze the vulnerabilities. It first generates the completed description of the Vulnerability-Triggering Path (VTP) from vulnerable IRs. Then, it corrects hallucinations in the VTP description with external golden knowledge. Finally, it generates Top-K pairs of Insecure Code and Patch Example based on the corrected VTP description. To evaluate the performance, we conducted experiments on 5,465 vulnerable IRs. The experimental results show that PatUntrack can obtain the highest performance and improve the traditional LLM baselines by +14.6% (Fix@10) on average in patch example generation. Furthermore, PatUntrack was applied to generate patch examples for 76 newly disclosed vulnerable IRs. 27 out of 37 replies from the authors of these IRs confirmed the usefulness of the patch examples generated by PatUntrack, indicating that they can benefit from these examples for patching the vulnerabilities.
- Abstract(参考訳): セキュリティパッチは、ソフトウェアコミュニティにおけるプロジェクトの安定性と堅牢性を高めるために不可欠です。
脆弱性は公式には公表される前にパッチが適用されることが期待されているが、脆弱性のパッチは複雑で、多くの組織で依然として苦労している。
脆弱性をパッチするために、セキュリティ実践者は一般的に脆弱性のあるイシューレポート(IR)を追跡し、関連するセキュリティコードを分析して潜在的なパッチを生成する。
しかし、関連する安全でないコードは明示的に指定されておらず、実践者はリポジトリ内の安全でないコードを追跡できないため、パッチを生成する能力は制限される。
そのような場合、安全でないコードとそれに対応するパッチの例を提供することで、セキュリティ開発者は安全でないコードを見つけ、修正するのに役立つだろう。
本稿では,セキュアでないコードを追跡せずにIRからパッチ例を自動的に生成するPatUntrackを提案する。
LLM(Large Language Models)を自動実行して、脆弱性の分析に適用できるようにする。
脆弱性のあるIRからVTP(Vulnerability-Triggering Path)の完全な記述を生成する。
そして、VTP記述における幻覚を外部の黄金知識で補正する。
最後に、修正されたVTP記述に基づいて、セキュリティコードとパッチサンプルのTop-Kペアを生成する。
この性能を評価するために,5,465個の脆弱赤外線の実験を行った。
実験の結果、PatUntrackは、パッチのサンプル生成において、最高のパフォーマンスを得ることができ、従来のLCMベースラインを+14.6%(Fix@10)改善できることがわかった。
さらに、PatUntrackは76個の新たに公開された脆弱性IRのパッチ例を生成するために適用された。
PatUntrackが生成したパッチ例の有用性を確認し、これらの例から脆弱性をパッチするメリットが示された。
関連論文リスト
- RedCode: Risky Code Execution and Generation Benchmark for Code Agents [50.81206098588923]
RedCodeはリスクの高いコード実行と生成のためのベンチマークである。
RedCode-Execは、危険なコード実行につながる可能性のある、挑戦的なプロンプトを提供する。
RedCode-Genは160のプロンプトに関数シグネチャとドキュメントを入力として提供し、コードエージェントが命令に従うかどうかを評価する。
論文 参考訳(メタデータ) (2024-11-12T13:30:06Z) - Fixing Security Vulnerabilities with AI in OSS-Fuzz [9.730566646484304]
OSS-Fuzzは、オープンソースシステムの継続的な検証のための最も重要で広く使用されているインフラである。
セキュリティ脆弱性を修正するために、よく知られたAutoCodeRoverエージェントをカスタマイズします。
OSS-Fuzz脆弱性データを用いた経験から,LSMエージェントの自律性はセキュリティパッチの成功に有用であることがわかった。
論文 参考訳(メタデータ) (2024-11-03T16:20:32Z) - PatchFinder: A Two-Phase Approach to Security Patch Tracing for Disclosed Vulnerabilities in Open-Source Software [15.867607171943698]
本稿では,エンドツーエンドの相関学習を併用した2段階のフレームワークを提案する。
PatchFinderは80.63%のRecall@10、平均相反ランク(MRR)は0.7951である。
PatchFinderを実際に適用する場合、最初は533件のパッチコミットを特定し、公式に送ったのですが、そのうち482件はCVE Numbering Authoritiesによって確認されました。
論文 参考訳(メタデータ) (2024-07-24T07:46:24Z) - Path-wise Vulnerability Mitigation [3.105656247358225]
本稿では,プログラムパスのレベルで緩和パッチを生成し挿入するPAVERという手法について述べる。
各候補パッチ位置について、PAVERは緩和パッチを生成して挿入し、パッチされたプログラムをテストして副作用を評価する。
実世界の脆弱性に対するPAVERのプロトタイプを評価し,我々のパスワイド脆弱性軽減パッチが副作用を最小限に抑えることを示す。
論文 参考訳(メタデータ) (2024-05-25T22:58:37Z) - Just-in-Time Detection of Silent Security Patches [7.840762542485285]
セキュリティパッチは黙秘される可能性がある。つまり、CVEのような包括的なアドバイザリを常に備えているわけではない。
この透明性の欠如により、ユーザーは利用可能なセキュリティアップデートを気にせず、攻撃者が未パッチの脆弱性を悪用する十分な機会を提供する。
本稿では,大規模言語モデル(LLM)を活用して,生成されたコード変更説明を用いてパッチ情報を拡張することを提案する。
論文 参考訳(メタデータ) (2023-12-02T22:53:26Z) - RAP-Gen: Retrieval-Augmented Patch Generation with CodeT5 for Automatic
Program Repair [75.40584530380589]
新たな検索型パッチ生成フレームワーク(RAP-Gen)を提案する。
RAP-Gen 以前のバグ修正ペアのリストから取得した関連する修正パターンを明示的に活用する。
RAP-GenをJavaScriptのTFixベンチマークとJavaのCode RefinementとDefects4Jベンチマークの2つのプログラミング言語で評価する。
論文 参考訳(メタデータ) (2023-09-12T08:52:56Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z) - DRSM: De-Randomized Smoothing on Malware Classifier Providing Certified
Robustness [58.23214712926585]
我々は,マルウェア検出領域の非ランダム化スムース化技術を再設計し,DRSM(De-Randomized Smoothed MalConv)を開発した。
具体的には,実行可能ファイルの局所構造を最大に保ちながら,逆数バイトの影響を確実に抑制するウィンドウアブレーション方式を提案する。
私たちは、マルウェア実行ファイルの静的検出という領域で、認証された堅牢性を提供する最初の人です。
論文 参考訳(メタデータ) (2023-03-20T17:25:22Z) - Detecting Security Patches via Behavioral Data in Code Repositories [11.052678122289871]
Gitリポジトリ内の開発者動作のみを使用して,セキュリティパッチを自動的に識別するシステムを示す。
秘密のセキュリティパッチを88.3%、F1スコア89.8%で公開できることを示しました。
論文 参考訳(メタデータ) (2023-02-04T06:43:07Z) - Segment and Complete: Defending Object Detectors against Adversarial
Patch Attacks with Robust Patch Detection [142.24869736769432]
敵のパッチ攻撃は最先端の物体検出器に深刻な脅威をもたらす。
パッチ攻撃に対して物体検出器を防御するフレームワークであるSegment and Complete Defense (SAC)を提案する。
SACは、物理的パッチ攻撃の標的攻撃成功率を著しく低減できることを示す。
論文 参考訳(メタデータ) (2021-12-08T19:18:48Z) - (De)Randomized Smoothing for Certifiable Defense against Patch Attacks [136.79415677706612]
我々は、所定の画像とパッチ攻撃サイズを保証する、パッチ攻撃に対する認証可能な防御を導入する。
本手法はランダム化スムースなロバスト性スキームの幅広いクラスに関係している。
その結果,CIFAR-10およびImageNetに対するパッチ攻撃に対する認証済みの防御技術が確立した。
論文 参考訳(メタデータ) (2020-02-25T08:39:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。