論文の概要: LLM-Enhanced Software Patch Localization
- arxiv url: http://arxiv.org/abs/2409.06816v1
- Date: Tue, 10 Sep 2024 18:52:40 GMT
- ステータス: 処理完了
- システム内更新日: 2024-09-12 20:02:24.916583
- Title: LLM-Enhanced Software Patch Localization
- Title(参考訳): LLMによるソフトウェアパッチのローカライゼーション
- Authors: Jinhong Yu, Yi Chen, Di Tang, Xiaozhong Liu, XiaoFeng Wang, Chen Wu, Haixu Tang,
- Abstract要約: セキュリティパッチローカライゼーション(SPL)レコメンデーションメソッドは、この問題に対処するための主要なアプローチである。
LLM-SPLは,Large Language Model(LLM)の機能を活用して,所定のCVEに対するセキュリティパッチコミットを特定するレコメンデーションベースのSPLアプローチである。
2,461個のパッチに関連付けられた1,915個のCVEのデータセットに対する評価は、LLM-SPLがパッチコミットのランク付けにおいて優れており、リコールの点では最先端のメソッドを上回っていることを示している。
- 参考スコア(独自算出の注目度): 24.1593187492973
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Open source software (OSS) is integral to modern product development, and any vulnerability within it potentially compromises numerous products. While developers strive to apply security patches, pinpointing these patches among extensive OSS updates remains a challenge. Security patch localization (SPL) recommendation methods are leading approaches to address this. However, existing SPL models often falter when a commit lacks a clear association with its corresponding CVE, and do not consider a scenario that a vulnerability has multiple patches proposed over time before it has been fully resolved. To address these challenges, we introduce LLM-SPL, a recommendation-based SPL approach that leverages the capabilities of the Large Language Model (LLM) to locate the security patch commit for a given CVE. More specifically, we propose a joint learning framework, in which the outputs of LLM serves as additional features to aid our recommendation model in prioritizing security patches. Our evaluation on a dataset of 1,915 CVEs associated with 2,461 patches demonstrates that LLM-SPL excels in ranking patch commits, surpassing the state-of-the-art method in terms of Recall, while significantly reducing manual effort. Notably, for vulnerabilities requiring multiple patches, LLM-SPL significantly improves Recall by 22.83\%, NDCG by 19.41\%, and reduces manual effort by over 25\% when checking up to the top 10 rankings. The dataset and source code are available at \url{https://anonymous.4open.science/r/LLM-SPL-91F8}.
- Abstract(参考訳): オープンソースソフトウェア(OSS)は、現代の製品開発に不可欠なものであり、その中の脆弱性は、多くの製品に侵入する可能性がある。
開発者はセキュリティパッチを適用しようと努力するが、これらのパッチをOSSの大規模なアップデートで特定することは依然として難しい。
セキュリティパッチローカライゼーション(SPL)レコメンデーションメソッドは、この問題に対処するための主要なアプローチである。
しかしながら、既存のSPLモデルは、コミットが対応するCVEと明確な関連性が欠如している場合にしばしば混乱し、脆弱性が完全に解決される前に複数のパッチが提案されるシナリオを考慮しない。
これらの課題に対処するため、LLM-SPLというレコメンデーションベースのSPLアプローチを導入し、LLM(Large Language Model)の機能を活用して、所定のCVEのセキュリティパッチコミットを特定する。
より具体的には、LLMの出力がセキュリティパッチの優先順位付けにおける推奨モデルに役立つ追加機能として機能する共同学習フレームワークを提案する。
2,461個のパッチに関連付けられた1,915個のCVEのデータセットを評価したところ、LLM-SPLはパッチコミットのランク付けに優れており、リコールでは最先端のメソッドを上回り、手作業を大幅に削減していることがわかった。
特に、複数のパッチを必要とする脆弱性に対して、LLM-SPLはリコールを22.83\%改善し、NDCGを19.41\%改善し、トップ10までチェックすると手作業が25\%以上削減される。
データセットとソースコードは \url{https://anonymous.4open.science/r/LLM-SPL-91F8} で公開されている。
関連論文リスト
- Exploring Automatic Cryptographic API Misuse Detection in the Era of LLMs [60.32717556756674]
本稿では,暗号誤用の検出において,大規模言語モデルを評価するための体系的評価フレームワークを提案する。
11,940個のLCM生成レポートを詳細に分析したところ、LSMに固有の不安定性は、報告の半数以上が偽陽性になる可能性があることがわかった。
最適化されたアプローチは、従来の手法を超え、確立されたベンチマークでこれまで知られていなかった誤用を明らかにすることで、90%近い顕著な検出率を達成する。
論文 参考訳(メタデータ) (2024-07-23T15:31:26Z) - Hybrid Automated Program Repair by Combining Large Language Models and Program Analysis [12.7034916462208]
自動プログラム修復(APR)は、人間の開発者のバグ修正プロセスを合理化する可能性から、大きな注目を集めている。
本稿ではGIANTREPAIRと呼ばれる革新的なAPR手法を紹介する。
この知見に基づいて、GIANTREPAIRはまず、LLM生成したパッチからパッチスケルトンを構築して、パッチ空間を閉じ込め、その後、特定のプログラムに適した高品質なパッチを生成する。
論文 参考訳(メタデータ) (2024-06-03T05:05:12Z) - Defensive Prompt Patch: A Robust and Interpretable Defense of LLMs against Jailbreak Attacks [59.46556573924901]
本稿では,大規模言語モデル(LLM)のための新しいプロンプトベースの防御機構であるDPPを紹介する。
従来のアプローチとは異なり、DPP は LLM の高能率を維持しながら最小の攻撃成功率 (ASR) を達成するように設計されている。
LLAMA-2-7B-ChatおよびMistral-7B-Instruct-v0.2モデルによる実験結果から,DSPの堅牢性と適応性が確認された。
論文 参考訳(メタデータ) (2024-05-30T14:40:35Z) - LLM2LLM: Boosting LLMs with Novel Iterative Data Enhancement [79.31084387589968]
事前訓練された大規模言語モデル(LLM)は、現在、自然言語処理タスクの大部分を解決するための最先端技術である。
LLM2LLMは、教師のLLMを使って小さなシードデータセットを強化するデータ拡張戦略である。
GSM8Kデータセットでは最大24.2%、CaseHOLDでは32.6%、SNIPSでは32.0%、TRECでは52.6%、SST-2では39.8%の改善が達成された。
論文 参考訳(メタデータ) (2024-03-22T08:57:07Z) - Just-in-Time Security Patch Detection -- LLM At the Rescue for Data
Augmentation [8.308196041232128]
本稿では,LLM(Large Language Models)とコードテキストアライメントを利用した新しいセキュリティパッチ検出システム LLMDA を提案する。
LLMDA内では、ラベル付き命令を使用してLLMDAを指示し、セキュリティ関連性に基づいたパッチの識別を行う。
次に、PTFormerを使ってパッチをコードとマージし、パッチとコード間の相互接続と固有の詳細の両方を含むハイブリッド属性を定式化します。
論文 参考訳(メタデータ) (2023-12-02T22:53:26Z) - LM-Polygraph: Uncertainty Estimation for Language Models [71.21409522341482]
不確実性推定(UE)手法は、大規模言語モデル(LLM)の安全性、責任性、効果的な利用のための1つの経路である。
テキスト生成タスクにおけるLLMの最先端UEメソッドのバッテリを実装したフレームワークであるLM-PolygraphをPythonで統一したプログラムインタフェースで導入する。
研究者によるUEテクニックの一貫した評価のための拡張可能なベンチマークと、信頼スコア付き標準チャットダイアログを強化するデモWebアプリケーションを導入している。
論文 参考訳(メタデータ) (2023-11-13T15:08:59Z) - Can LLMs Patch Security Issues? [1.3299507495084417]
LLM(Large Language Models)は、コード生成に優れた習熟度を示している。
LLMは人間と弱点を共有している。
我々は、LLMが生成した脆弱性のあるコードを自動的に洗練するフィードバック駆動セキュリティパッチング(FDSP)を提案する。
論文 参考訳(メタデータ) (2023-11-13T08:54:37Z) - Fake Alignment: Are LLMs Really Aligned Well? [91.26543768665778]
本研究では,複数質問とオープンエンド質問の相違点について検討した。
ジェイルブレイク攻撃パターンの研究にインスパイアされた我々は、これが不一致の一般化によって引き起こされたと論じている。
論文 参考訳(メタデータ) (2023-11-10T08:01:23Z) - Multilevel Semantic Embedding of Software Patches: A Fine-to-Coarse
Grained Approach Towards Security Patch Detection [6.838615442552715]
セキュリティパッチ検出のためのマルチレベルセマンティックエンベッドダ(MultiSEM)を提案する。
このモデルは、単語中心のベクトルをきめ細かいレベルで利用し、個々の単語の重要性を強調する。
我々は、この表現をさらに強化し、パッチ記述を同化して、全体論的なセマンティック・ポートレートを得る。
論文 参考訳(メタデータ) (2023-08-29T11:41:21Z) - Do-Not-Answer: A Dataset for Evaluating Safeguards in LLMs [59.596335292426105]
本稿では,大規模な言語モデルにおけるセーフガードを評価するための,最初のオープンソースデータセットを収集する。
我々は、自動安全性評価において、GPT-4に匹敵する結果を得るために、BERTライクな分類器をいくつか訓練する。
論文 参考訳(メタデータ) (2023-08-25T14:02:12Z) - ZeroLeak: Using LLMs for Scalable and Cost Effective Side-Channel
Patching [6.556868623811133]
セキュリティクリティカルなソフトウェア、例えばOpenSSLには、リソースや専門家が不足しているため、パッチが残っていないサイドチャネルのリークが多数含まれている。
マイクロアーキテクチャのサイドチャネルリークを伴う脆弱性コードに対するパッチ生成において,LLM(Large Language Models)の使用について検討する。
論文 参考訳(メタデータ) (2023-08-24T20:04:36Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。