論文の概要: Enhancing Security in Third-Party Library Reuse -- Comprehensive Detection of 1-day Vulnerability through Code Patch Analysis

• arxiv url: http://arxiv.org/abs/2411.19648v1
• Date: Fri, 29 Nov 2024 12:02:28 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-12-02 15:21:56.693515
• Title: Enhancing Security in Third-Party Library Reuse -- Comprehensive Detection of 1-day Vulnerability through Code Patch Analysis
• Title（参考訳）: サードパーティライブラリ再利用におけるセキュリティ強化 -- コードパッチ解析による1日間の脆弱性の包括的検出
• Authors: Shangzhi Xu, Jialiang Dong, Weiting Cai, Juanru Li, Arash Shaghaghi, Nan Sun, Siqi Ma,
• Abstract要約: サードパーティライブラリ(TPL)は、TPLのメンテナンスが低いため、脆弱性(1日脆弱性と呼ばれる)を導入することができる。 VULTUREは、脆弱なTPLの再利用から生じる1日間の脆弱性を特定することを目的としている。 VULTUREは178個のTPLから175個の脆弱性を特定した。
• 参考スコア（独自算出の注目度）: 8.897599530972638
• License:
• Abstract: Nowadays, software development progresses rapidly to incorporate new features. To facilitate such growth and provide convenience for developers when creating and updating software, reusing open-source software (i.e., thirdparty library reuses) has become one of the most effective and efficient methods. Unfortunately, the practice of reusing third-party libraries (TPLs) can also introduce vulnerabilities (known as 1-day vulnerabilities) because of the low maintenance of TPLs, resulting in many vulnerable versions remaining in use. If the software incorporating these TPLs fails to detect the introduced vulnerabilities and leads to delayed updates, it will exacerbate the security risks. However, the complicated code dependencies and flexibility of TPL reuses make the detection of 1-day vulnerability a challenging task. To support developers in securely reusing TPLs during software development, we design and implement VULTURE, an effective and efficient detection tool, aiming at identifying 1-day vulnerabilities that arise from the reuse of vulnerable TPLs. It first executes a database creation method, TPLFILTER, which leverages the Large Language Model (LLM) to automatically build a unique database for the targeted platform. Instead of relying on code-level similarity comparison, VULTURE employs hashing-based comparison to explore the dependencies among the collected TPLs and identify the similarities between the TPLs and the target projects. Recognizing that developers have the flexibility to reuse TPLs exactly or in a custom manner, VULTURE separately conducts version-based comparison and chunk-based analysis to capture fine-grained semantic features at the function levels. We applied VULTURE to 10 real-world projects to assess its effectiveness and efficiency in detecting 1-day vulnerabilities. VULTURE successfully identified 175 vulnerabilities from 178 reused TPLs.
• Abstract（参考訳）: 今日、ソフトウェア開発は急速に進歩し、新しい機能が組み込まれています。 このような成長を容易にし、ソフトウェアを作成して更新する際の利便性を提供するために、オープンソースソフトウェア(すなわち、サードパーティのライブラリの再利用)を再利用することが、最も効果的で効率的な方法の1つになっている。 残念なことに、サードパーティライブラリ(TPL)を再利用するプラクティスは、TPLのメンテナンスが低いために脆弱性(1日脆弱性と呼ばれる)も導入できるため、多くの脆弱性バージョンが使用されている。 これらのTPLを組み込んだソフトウェアが、導入した脆弱性の検出に失敗し、更新が遅れた場合には、セキュリティリスクが悪化する。 しかし、複雑なコードの依存関係とTPLの再利用の柔軟性は、1日間の脆弱性の検出を困難にしている。 ソフトウェア開発におけるTPLの安全な再利用を支援するため,脆弱なTPLの再利用から生じる1日間の脆弱性の特定を目的とした,効率的かつ効率的な検出ツールであるVULTUREを設計,実装した。 まず、Large Language Model(LLM)を活用してターゲットプラットフォーム用のユニークなデータベースを自動的に構築するTPLFILTERというデータベース作成方法を実行する。 コードレベルの類似性比較に頼る代わりに、VULTUREはハッシュベースの比較を使用して、収集されたTPL間の依存関係を調べ、TPLと対象プロジェクトの類似性を特定する。 開発者がTPLを正確にあるいはカスタムに再利用する柔軟性があることを認識して、VULTUREはバージョンベースの比較とチャンクベースの分析を別々に行い、関数レベルできめ細かいセマンティック機能をキャプチャする。 VULTUREを実世界の10のプロジェクトに適用し、1日間の脆弱性の検出の有効性と効率を評価した。 VULTUREは178個のTPLから175個の脆弱性を特定した。

関連論文リスト

• Vulnerability-Triggering Test Case Generation from Third-Party Libraries [8.065610614825395]
  VULEUTは、クライアントソフトウェアプロジェクトで一般的に使用されているサードパーティ製ライブラリの脆弱性の悪用を自動検証するように設計されている。 VULEUTはまず、脆弱性条件の到達可能性を決定するためにクライアントプロジェクトを分析する。 次に、Large Language Model (LLM)を活用して、脆弱性確認のためのユニットテストを生成する。
  論文  参考訳（メタデータ） (2024-09-25T07:47:01Z)
• HexaCoder: Secure Code Generation via Oracle-Guided Synthetic Training Data [60.75578581719921]
  大規模言語モデル(LLM)は、自動コード生成に大きな可能性を示している。 最近の研究は、多くのLLM生成コードが深刻なセキュリティ脆弱性を含んでいることを強調している。 我々は,LLMがセキュアなコードを生成する能力を高めるための新しいアプローチであるHexaCoderを紹介する。
  論文  参考訳（メタデータ） (2024-09-10T12:01:43Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• SAFE: Advancing Large Language Models in Leveraging Semantic and Syntactic Relationships for Software Vulnerability Detection [23.7268575752712]
  ソフトウェア脆弱性(SV)は、安全クリティカルなセキュリティシステムにとって、一般的かつ重要な懸念事項として浮上している。 本稿では,SVDのソースコードデータから意味的・統語的関係を学習し,活用するための大規模言語モデルの能力を高める新しいフレームワークを提案する。
  論文  参考訳（メタデータ） (2024-09-02T00:49:02Z)
• SCoPE: Evaluating LLMs for Software Vulnerability Detection [0.0]
  この研究は、コード関連タスクのモデルをトレーニングするために一般的に使用されるCVEFixesデータセットを調査し、洗練する。 SCoPEが生成した出力はCVEFixesの新バージョンを作成するために使われた。 その結果,SCoPEは評価されたサブセット内の905個の複製の同定に有効であった。
  論文  参考訳（メタデータ） (2024-07-19T15:02:00Z)
• Agent-Driven Automatic Software Improvement [55.2480439325792]
  本提案は,Large Language Models (LLMs) を利用したエージェントの展開に着目して,革新的なソリューションの探求を目的とする。 継続的学習と適応を可能にするエージェントの反復的性質は、コード生成における一般的な課題を克服するのに役立ちます。 我々は,これらのシステムにおける反復的なフィードバックを用いて,エージェントの基盤となるLLMをさらに微調整し,自動化されたソフトウェア改善のタスクに整合性を持たせることを目指している。
  論文  参考訳（メタデータ） (2024-06-24T15:45:22Z)
• Exploiting Library Vulnerability via Migration Based Automating Test Generation [16.39796265296833]
  ソフトウェア開発において、開発者は既存の機能を実装するのを避けるためにサードパーティのライブラリを幅広く利用する。 脆弱性のエクスプロイトは、公開後に脆弱性を再現するためのコードスニペットとして、豊富な脆弱性関連情報を含んでいる。 本研究は、開発者が依存関係を更新するかどうかを判断する基盤として脆弱性エクスプロイトテストを提供するVESTAと呼ばれる、脆弱性エクスプロイトに基づく新しい手法を提案する。
  論文  参考訳（メタデータ） (2023-12-15T06:46:45Z)
• CodeLMSec Benchmark: Systematically Evaluating and Finding Security Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
  自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。 これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。 この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
  論文  参考訳（メタデータ） (2023-02-08T11:54:07Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)
• RoFL: Attestable Robustness for Secure Federated Learning [59.63865074749391]
  フェデレートラーニング(Federated Learning)により、多数のクライアントが、プライベートデータを共有することなく、ジョイントモデルをトレーニングできる。 クライアントのアップデートの機密性を保証するため、フェデレートラーニングシステムはセキュアなアグリゲーションを採用している。 悪意のあるクライアントに対する堅牢性を向上させるセキュアなフェデレート学習システムであるRoFLを提案する。
  論文  参考訳（メタデータ） (2021-07-07T15:42:49Z)
• Detecting Security Fixes in Open-Source Repositories using Static Code Analyzers [8.716427214870459]
  機械学習(ML)アプリケーションにおけるコミットを表現する機能として,既製の静的コードアナライザの出力がどの程度使用されるかを検討する。 埋め込みの構築やMLモデルをトレーニングして、脆弱性修正を含むソースコードコミットを自動的に識別する方法について検討する。 当社のメソッドとcommit2vecの組み合わせは,脆弱性を修正するコミットの自動識別において,最先端技術よりも明確な改善であることがわかった。
  論文  参考訳（メタデータ） (2021-05-07T15:57:17Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。