論文の概要: There are More Fish in the Sea: Automated Vulnerability Repair via Binary Templates
- arxiv url: http://arxiv.org/abs/2411.18088v1
- Date: Wed, 27 Nov 2024 06:59:45 GMT
- ステータス: 翻訳完了
- システム内更新日: 2024-11-28 15:27:52.687432
- Title: There are More Fish in the Sea: Automated Vulnerability Repair via Binary Templates
- Title(参考訳): 海にはもっと多くの魚がいる:バイナリテンプレートによる自動脆弱性修復
- Authors: Bo Lin, Shangwen Wang, Liqian Chen, Xiaoguang Mao,
- Abstract要約: 本稿では,Javaバイナリに対するテンプレートベースの自動脆弱性修復手法を提案する。
Vul4Jデータセットの実験では、TemVURが11の脆弱性の修正に成功した。
TemVURの一般化性を評価するため、MaryVuls4Jデータセットをキュレートする。
- 参考スコア(独自算出の注目度): 4.907610470063863
- License:
- Abstract: As software vulnerabilities increase in both volume and complexity, vendors often struggle to repair them promptly. Automated vulnerability repair has emerged as a promising solution to reduce the burden of manual debugging and fixing activities. However, existing techniques exclusively focus on repairing the vulnerabilities at the source code level, which has various limitations. For example, they are not applicable to those (e.g., users or security analysts) who do not have access to the source code. Consequently, this restricts the practical application of these techniques, especially in cases where vendors are unable to provide timely patches. In this paper, we aim to address the above limitations by performing vulnerability repair at binary code level, and accordingly propose a template-based automated vulnerability repair approach for Java binaries. Built on top of the literature, we collect fix templates from both existing template-based automated program repair approaches and vulnerability-specific analyses, which are then implemented for the Java binaries. Our systematic application of these templates effectively mitigates vulnerabilities: experiments on the Vul4J dataset demonstrate that TemVUR successfully repairs 11 vulnerabilities, marking a notable 57.1% improvement over current repair techniques. Moreover, TemVUR securely fixes 66.7% more vulnerabilities compared to leading techniques (15 vs. 9), underscoring its effectiveness in mitigating the risks posed by these vulnerabilities. To assess the generalizability of TemVUR, we curate the ManyVuls4J dataset, which goes beyond Vul4J to encompass a wider diversity of vulnerabilities. With 30% more vulnerabilities than its predecessor (increasing from 79 to 103). The evaluation on ManyVuls4J reaffirms TemVUR's effectiveness and generalizability across a diverse set of real-world vulnerabilities.
- Abstract(参考訳): ソフトウェア脆弱性がボリュームと複雑さの両方で増加すると、ベンダーはしばしばそれを迅速に修復するのに苦労する。
手作業によるデバッグや修正作業の負担を軽減する手段として,自動脆弱性修正が有望なソリューションとして登場した。
しかし、既存のテクニックは、様々な制限があるソースコードレベルでの脆弱性の修復にのみ焦点をあてている。
例えば、ソースコードにアクセスできない人(ユーザやセキュリティアナリストなど)には適用できない。
これにより、特にベンダーがタイムリーなパッチを提供できない場合に、これらのテクニックの実践的適用を制限することができる。
本稿では,バイナリコードレベルで脆弱性修復を行うことにより,上記の制限に対処することを目的として,Javaバイナリに対するテンプレートベースの自動脆弱性修復アプローチを提案する。
文献に基づいて構築され、既存のテンプレートベースの自動プログラム修復アプローチと脆弱性固有の分析の両方から修正テンプレートを収集し、Javaバイナリに実装します。
Vul4Jデータセットの実験では、TemVURが11の脆弱性の修復に成功したことが示されており、現在の修復テクニックよりも57.1%改善されている。
さらに、TemVURは主要な技術(15対9)と比較して66.7%の脆弱性を確実に修正し、これらの脆弱性によって引き起こされるリスクを軽減する効果を強調した。
TemVURの一般化性を評価するため、より広範な脆弱性を含むためにVul4Jを超えるMaryVuls4Jデータセットをキュレートする。
脆弱性は前者よりも30%多い(79から103)。
ManyVuls4Jの評価では、TemVURの有効性と現実世界のさまざまな脆弱性に対する一般化性が再確認されている。
関連論文リスト
- CommitShield: Tracking Vulnerability Introduction and Fix in Version Control Systems [15.037460085046806]
CommitShieldは、コードコミットの脆弱性を検出するツールである。
静的解析ツールのコード解析機能と、大きな言語モデルの自然言語とコード理解機能を組み合わせる。
脆弱性修正検出タスクの最先端メソッドに対して,CommitShieldはリコールを76%~87%改善することを示す。
論文 参考訳(メタデータ) (2025-01-07T08:52:55Z) - CRepair: CVAE-based Automatic Vulnerability Repair Technology [1.147605955490786]
ソフトウェア脆弱性は、現代のソフトウェアとそのアプリケーションデータの完全性、セキュリティ、信頼性に重大な脅威をもたらす。
脆弱性修復の課題に対処するため、研究者らは、学習に基づく自動脆弱性修復技術が広く注目を集めるなど、様々な解決策を提案している。
本稿では,システムコードのセキュリティ脆弱性を修正することを目的としたCVAEベースの自動脆弱性修復技術であるCRepairを提案する。
論文 参考訳(メタデータ) (2024-11-08T12:55:04Z) - Code Vulnerability Repair with Large Language Model using Context-Aware Prompt Tuning [5.1071146597039245]
大規模言語モデル(LLM)は、脆弱なコードの検出と修復において重大な課題を示している。
本研究では、GitHub CopilotをLLMとして使用し、バッファオーバーフロー脆弱性に焦点を当てる。
実験の結果,バッファオーバーフローの脆弱性に対処する際のCopilotの能力には,76%の脆弱性検出率と15%の脆弱性修正率の差が認められた。
論文 参考訳(メタデータ) (2024-09-27T02:25:29Z) - How Well Do Large Language Models Serve as End-to-End Secure Code Producers? [42.119319820752324]
GPT-3.5 と GPT-4 の 4 つの LLM で生成されたコードの脆弱性を識別し,修復する能力について検討した。
4900のコードを手動または自動でレビューすることで、大きな言語モデルにはシナリオ関連セキュリティリスクの認識が欠けていることが判明した。
修復の1ラウンドの制限に対処するため,LLMにより安全なソースコード構築を促す軽量ツールを開発した。
論文 参考訳(メタデータ) (2024-08-20T02:42:29Z) - Vulnerability Detection with Code Language Models: How Far Are We? [40.455600722638906]
PrimeVulは、脆弱性検出のためのコードLMのトレーニングと評価のための新しいデータセットである。
これは、人間の検証されたベンチマークに匹敵するラベルの精度を達成する、新しいデータラベリング技術を含んでいる。
また、厳密なデータ重複解消戦略と時系列データ分割戦略を実装して、データの漏洩問題を軽減している。
論文 参考訳(メタデータ) (2024-03-27T14:34:29Z) - FaultGuard: A Generative Approach to Resilient Fault Prediction in Smart Electrical Grids [53.2306792009435]
FaultGuardは、障害タイプとゾーン分類のための最初のフレームワークであり、敵攻撃に耐性がある。
本稿では,ロバスト性を高めるために,低複雑性故障予測モデルとオンライン逆行訓練手法を提案する。
本モデルでは,耐故障予測ベンチマークの最先端を最大0.958の精度で上回っている。
論文 参考訳(メタデータ) (2024-03-26T08:51:23Z) - Profile of Vulnerability Remediations in Dependencies Using Graph
Analysis [40.35284812745255]
本研究では,グラフ解析手法と改良型グラフ注意畳み込みニューラルネットワーク(GAT)モデルを提案する。
制御フローグラフを分析して、脆弱性の修正を目的とした依存性のアップグレードから発生するアプリケーションの変更をプロファイルします。
結果は、コード脆弱性のリレーショナルダイナミクスに関する微妙な洞察を提供する上で、強化されたGATモデルの有効性を示す。
論文 参考訳(メタデータ) (2024-03-08T02:01:47Z) - Multi-LLM Collaboration + Data-Centric Innovation = 2x Better
Vulnerability Repair [14.920535179015006]
VulMasterはTransformerベースのニューラルネットワークモデルで、データ中心のイノベーションを通じて脆弱性の修復を生成する。
VulMasterを,5,800の脆弱性関数を持つ1,754のプロジェクトからなる実世界のC/C++脆弱性修復データセットで評価した。
論文 参考訳(メタデータ) (2024-01-27T16:51:52Z) - REEF: A Framework for Collecting Real-World Vulnerabilities and Fixes [40.401211102969356]
本稿では,REal-world vulnErabilities and Fixesをオープンソースリポジトリから収集するための自動収集フレームワークREEFを提案する。
脆弱性とその修正を収集する多言語クローラを開発し、高品質な脆弱性修正ペアをフィルタするためのメトリクスを設計する。
大規模な実験を通じて,我々の手法が高品質な脆弱性修正ペアを収集し,強力な説明を得られることを示す。
論文 参考訳(メタデータ) (2023-09-15T02:50:08Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。