論文の概要: A Match Made in Heaven? Matching Test Cases and Vulnerabilities With the VUTECO Approach

• arxiv url: http://arxiv.org/abs/2502.03365v1
• Date: Wed, 05 Feb 2025 17:02:42 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-02-06 14:29:25.165719
• Title: A Match Made in Heaven? Matching Test Cases and Vulnerabilities With the VUTECO Approach
• Title（参考訳）: ヒーヴンで作られたマッチ : VUTECOアプローチによるテストケースと脆弱性のマッチング
• Authors: Emanuele Iannone, Quang-Cuong Bui, Riccardo Scandariato,
• Abstract要約: 本稿では,Javaリポジトリから脆弱性知能テストのインスタンスを収集するディープラーニングベースのアプローチであるVUTECOを紹介する。 VUTECOはFindingタスクに対処し、VUL4Jで検証されたテストケースの完全精度と0.83 F0.5スコアを達成した。 マッチタスクに十分なパフォーマンスを示したにもかかわらず、VUTECOは野生での有効な試合の回収に失敗した。
• 参考スコア（独自算出の注目度）: 4.8556535196652195
• License:
• Abstract: Software vulnerabilities are commonly detected via static analysis, penetration testing, and fuzzing. They can also be found by running unit tests - so-called vulnerability-witnessing tests - that stimulate the security-sensitive behavior with crafted inputs. Developing such tests is difficult and time-consuming; thus, automated data-driven approaches could help developers intercept vulnerabilities earlier. However, training and validating such approaches require a lot of data, which is currently scarce. This paper introduces VUTECO, a deep learning-based approach for collecting instances of vulnerability-witnessing tests from Java repositories. VUTECO carries out two tasks: (1) the "Finding" task to determine whether a test case is security-related, and (2) the "Matching" task to relate a test case to the exact vulnerability it is witnessing. VUTECO successfully addresses the Finding task, achieving perfect precision and 0.83 F0.5 score on validated test cases in VUL4J and returning 102 out of 145 (70%) correct security-related test cases from 244 open-source Java projects. Despite showing sufficiently good performance for the Matching task - i.e., 0.86 precision and 0.68 F0.5 score - VUTECO failed to retrieve any valid match in the wild. Nevertheless, we observed that in almost all of the matches, the test case was still security-related despite being matched to the wrong vulnerability. In the end, VUTECO can help find vulnerability-witnessing tests, though the matching with the right vulnerability is yet to be solved; the findings obtained lay the stepping stone for future research on the matter.
• Abstract（参考訳）: ソフトウェア脆弱性は、静的解析、浸透テスト、ファジィングを通じて一般的に検出される。 それらはまた、工芸的な入力でセキュリティに敏感な振る舞いを刺激する、いわゆる脆弱性ウィットネステストと呼ばれるユニットテストを実行することで見つけることができる。 このようなテストの開発は難しく、時間を要するため、自動データ駆動アプローチは、開発者が早期に脆弱性をインターセプトするのに役立ちます。 しかし、そのようなアプローチのトレーニングと検証には大量のデータが必要です。 本稿では,Javaリポジトリから脆弱性知能テストのインスタンスを収集するディープラーニングベースのアプローチであるVUTECOを紹介する。 VUTECOは、(1)テストケースがセキュリティ関連かどうかを判断する"Finding"タスク、(2)テストケースとそれが目撃している正確な脆弱性を関連付ける"Matching"タスクの2つのタスクを実行する。 VUTECOはFindingタスクへの対処に成功し、VUL4Jの検証済みのテストケースの完全精度と0.83 F0.5スコアを達成し、244のオープンソースプロジェクトから145(70%)の正確なセキュリティ関連テストケースの102を返却した。 マッチタスクには十分なパフォーマンス、すなわち0.86の精度と0.68のF0.5のスコアがあるにもかかわらず、VUTECOは野生での有効な試合を取り戻せなかった。 それにもかかわらず、ほぼすべての一致で、テストケースは、間違った脆弱性にマッチしているにもかかわらず、セキュリティ関連であることがわかった。 結局のところ、VUTECOは、適切な脆弱性との整合性はまだ解決されていないものの、脆弱性に敏感なテストを見つけるのに役立ちます。

関連論文リスト

• Static Application Security Testing (SAST) Tools for Smart Contracts: How Far Are We? [14.974832502863526]
  近年,スマートコントラクトセキュリティの重要性が高まっている。 この問題に対処するため、スマートコントラクトの脆弱性を検出するために、多数の静的アプリケーションセキュリティテスト(SAST)ツールが提案されている。 本稿では,スマートコントラクトに対する45種類の脆弱性を含む,最新のきめ細かな分類法を提案する。
  論文  参考訳（メタデータ） (2024-04-28T13:40:18Z)
• Bounding Box Stability against Feature Dropout Reflects Detector Generalization across Environments [52.65013932553849]
  良い検出器は、位置があまり変化しない有界箱を出力する傾向があり、弱い検出器の有界箱は顕著な位置変化を受ける。 ボックス安定性スコア(BoSスコア)を計算して、この安定性を反映する。 各種試験環境における平均平均精度(mAP)を用いて測定した検出精度とBoSスコアが強い正の相関関係を持つことに寄与する。
  論文  参考訳（メタデータ） (2024-03-20T17:59:16Z)
• Efficiently Detecting Reentrancy Vulnerabilities in Complex Smart Contracts [35.26195628798847]
  既存の脆弱性検出ツールは、複雑なコントラクトにおける脆弱性の効率性や検出成功率の面では不十分である。 SliSEは、複雑なコントラクトに対するReentrancy脆弱性を検出する堅牢で効率的な方法を提供する。
  論文  参考訳（メタデータ） (2024-03-17T16:08:30Z)
• AIM: Automated Input Set Minimization for Metamorphic Security Testing [9.232277700524786]
  脆弱性検出機能を保ちながら、テストコストを削減するために入力を自動的に選択するアプローチであるAIMを提案する。 AIMにはクラスタリングベースのブラックボックスアプローチが含まれており、セキュリティ特性に基づいて同様の入力を識別する。 また、コストを最小化しながら、多様な入力を効率的に選択する新しい遺伝的アルゴリズムにも依存している。
  論文  参考訳（メタデータ） (2024-02-16T15:54:58Z)
• Automated Test Case Repair Using Language Models [0.5708902722746041]
  欠陥のないテストケースは、テストスイートの品質を低下させ、ソフトウェア開発プロセスを破壊します。 テストケースの自動修復に事前訓練されたコード言語モデルを活用する新しいアプローチであるTaRGetを提案する。 TaRGetは、テスト修復を言語翻訳タスクとして扱い、言語モデルを微調整するために2段階のプロセスを使用する。
  論文  参考訳（メタデータ） (2024-01-12T18:56:57Z)
• Enriching Automatic Test Case Generation by Extracting Relevant Test Inputs from Bug Reports [8.85274953789614]
  nameは、自動テスト生成ツールに入力される入力値を特定するためのバグレポートを探索するテクニックである。 Defects4Jプロジェクトでは,正規表現を用いた場合,68.68%の関連入力が抽出された。
  論文  参考訳（メタデータ） (2023-12-22T18:19:33Z)
• Towards single integrated spoofing-aware speaker verification embeddings [63.42889348690095]
  本研究は,1つの統合スプーフィング対応話者検証埋め込みを開発することを目的とする。 単一のSASV埋め込みの劣った性能は、不十分なトレーニングデータから得られると分析する。 実験では、SASV2022チャレンジの評価プロトコルにおいて、SASV-EERが1.06%に達するという劇的な改善が示された。
  論文  参考訳（メタデータ） (2023-05-30T14:15:39Z)
• AUTO: Adaptive Outlier Optimization for Online Test-Time OOD Detection [81.49353397201887]
  オープンソースアプリケーションに機械学習モデルをデプロイするには、アウト・オブ・ディストリビューション(OOD)検出が不可欠だ。 我々は、未ラベルのオンラインデータをテスト時に直接利用してOOD検出性能を向上させる、テスト時OOD検出と呼ばれる新しいパラダイムを導入する。 本稿では,入出力フィルタ,IDメモリバンク,意味的に一貫性のある目的からなる適応外乱最適化(AUTO)を提案する。
  論文  参考訳（メタデータ） (2023-03-22T02:28:54Z)
• SUPERNOVA: Automating Test Selection and Defect Prevention in AAA Video Games Using Risk Based Testing and Machine Learning [62.997667081978825]
  従来の手法では、成長するソフトウェアシステムではスケールできないため、ビデオゲームのテストはますます難しいタスクになります。 自動化ハブとして機能しながら,テスト選択と欠陥防止を行うシステム SUPERNOVA を提案する。 この直接的な影響は、未公表のスポーツゲームタイトルの55%以上のテスト時間を減らすことが観察されている。
  論文  参考訳（メタデータ） (2022-03-10T00:47:46Z)
• Learn what you can't learn: Regularized Ensembles for Transductive Out-of-distribution Detection [76.39067237772286]
  ニューラルネットワークの現在のアウト・オブ・ディストリビューション(OOD)検出アルゴリズムは,様々なOOD検出シナリオにおいて不満足な結果をもたらすことを示す。 本稿では,テストデータのバッチを観察した後に検出方法を調整することで,このような「ハード」なOODシナリオがいかに有用かを検討する。 本稿では,テストデータと正規化に人工ラベリング手法を用いて,テストバッチ内のOODサンプルに対してのみ矛盾予測を生成するモデルのアンサンブルを求める手法を提案する。
  論文  参考訳（メタデータ） (2020-12-10T16:55:13Z)
• Autosploit: A Fully Automated Framework for Evaluating the Exploitability of Security Vulnerabilities [47.748732208602355]
  Autosploitは脆弱性の悪用性を評価するためのフレームワークだ。 環境の異なる設定でエクスプロイトを自動的にテストする。 ノイズレス環境とノイズの多い環境の両方で脆弱性を悪用する能力に影響を与えるシステムの特性を識別することができる。
  論文  参考訳（メタデータ） (2020-06-30T18:49:18Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。