論文の概要: Trace Gadgets: Minimizing Code Context for Machine Learning-Based Vulnerability Prediction
- arxiv url: http://arxiv.org/abs/2504.13676v1
- Date: Fri, 18 Apr 2025 13:13:39 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-04-28 15:46:47.322654
- Title: Trace Gadgets: Minimizing Code Context for Machine Learning-Based Vulnerability Prediction
- Title(参考訳): トレースガジェット: マシンラーニングベースの脆弱性予測のためのコードコンテキストの最小化
- Authors: Felix Mächtle, Nils Loose, Tim Schulz, Florian Sieck, Jan-Niclas Serr, Ralf Möller, Thomas Eisenbarth,
- Abstract要約: これは、非関連コードを削除することで、コードコンテキストを最小限に抑える新しいコード表現である。
MLモデルの入力として、トレースガジェットは最小限の完全なコンテキストを提供するため、検出性能が向上する。
この結果から,現在最先端の機械学習モデルでは,従来のコード表現と比較してTrace Gadgetsが最適であることが示唆された。
- 参考スコア(独自算出の注目度): 8.056137513320065
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: As the number of web applications and API endpoints exposed to the Internet continues to grow, so does the number of exploitable vulnerabilities. Manually identifying such vulnerabilities is tedious. Meanwhile, static security scanners tend to produce many false positives. While machine learning-based approaches are promising, they typically perform well only in scenarios where training and test data are closely related. A key challenge for ML-based vulnerability detection is providing suitable and concise code context, as excessively long contexts negatively affect the code comprehension capabilities of machine learning models, particularly smaller ones. This work introduces Trace Gadgets, a novel code representation that minimizes code context by removing non-related code. Trace Gadgets precisely capture the statements that cover the path to the vulnerability. As input for ML models, Trace Gadgets provide a minimal but complete context, thereby improving the detection performance. Moreover, we collect a large-scale dataset generated from real-world applications with manually curated labels to further improve the performance of ML-based vulnerability detectors. Our results show that state-of-the-art machine learning models perform best when using Trace Gadgets compared to previous code representations, surpassing the detection capabilities of industry-standard static scanners such as GitHub's CodeQL by at least 4% on a fully unseen dataset. By applying our framework to real-world applications, we identify and report previously unknown vulnerabilities in widely deployed software.
- Abstract(参考訳): インターネット上に公開されているWebアプリケーションやAPIエンドポイントの数が増えるにつれて、悪用可能な脆弱性の数も増え続けている。
このような脆弱性を手動で特定するのは面倒だ。
一方、静的なセキュリティスキャナは多くの偽陽性を発生させる傾向がある。
機械学習ベースのアプローチは有望だが、トレーニングとテストデータが密接に関連しているシナリオでのみうまく機能する。
MLベースの脆弱性検出における重要な課題は、過度に長いコンテキストが機械学習モデルのコード理解能力、特に小さなコンテキストに悪影響を及ぼすため、適切で簡潔なコードコンテキストを提供することである。
これは、非関連コードを削除することで、コードコンテキストを最小限に抑える新しいコード表現である。
トレースガジェットは、脆弱性へのパスをカバーするステートメントを正確にキャプチャします。
MLモデルの入力として、トレースガジェットは最小限の完全なコンテキストを提供するため、検出性能が向上する。
さらに,手作業によるラベル付き実世界のアプリケーションから生成された大規模データセットを収集し,MLベースの脆弱性検知器の性能をさらに向上させる。
我々の結果は、最先端の機械学習モデルが、以前のコード表現と比較してTrace Gadgetsを使用する場合、GitHubのCodeQLのような業界標準の静的スキャナの検出能力を、完全に見えないデータセットで少なくとも4%上回る、最高のパフォーマンスを示している。
現実世界のアプリケーションにフレームワークを適用することで、広くデプロイされたソフトウェアにおいて、これまで未知の脆弱性を特定し報告します。
関連論文リスト
- Enhancing Software Vulnerability Detection Using Code Property Graphs and Convolutional Neural Networks [0.0]
本稿では,コードプロパティグラフと機械学習を組み合わせたソフトウェア脆弱性検出手法を提案する。
グラフデータに適応した畳み込みニューラルネットワークなど、さまざまなニューラルネットワークモデルを導入して、これらの表現を処理する。
コントリビューションには、ソフトウェアコードをコードプロパティグラフに変換する方法論、グラフデータのための畳み込みニューラルネットワークモデルの実装、トレーニングと評価のための包括的なデータセットの作成が含まれている。
論文 参考訳(メタデータ) (2025-03-23T19:12:07Z) - CASTLE: Benchmarking Dataset for Static Code Analyzers and LLMs towards CWE Detection [2.5228276786940182]
本稿では,異なる手法の脆弱性検出能力を評価するためのベンチマークフレームワークであるCASTLEを紹介する。
我々は,25個のCWEをカバーする250個のマイクロベンチマークプログラムを手作りしたデータセットを用いて,静的解析ツール13,LLM10,形式検証ツール2を評価した。
論文 参考訳(メタデータ) (2025-03-12T14:30:05Z) - Large Language Models as Realistic Microservice Trace Generators [54.85489678342595]
ワークロードトレースは、複雑なコンピュータシステムの振る舞いを理解し、処理とメモリリソースを管理するために不可欠である。
本稿では,大規模言語モデルを用いて合成ワークロードトレースを生成する手法を提案する。
我々のモデルは、キートレースの特徴を予測したり、欠落したデータを埋め込んだりといった、下流のトレース関連タスクに適応する。
論文 参考訳(メタデータ) (2024-12-16T12:48:04Z) - Line-level Semantic Structure Learning for Code Vulnerability Detection [44.29771620061153]
ラインレベルのセマンティックラーニングを通じて,コード構造認識ネットワークを導入する。
コード前処理、グローバルセマンティック認識、ラインセマンティック認識、ラインセマンティック構造認識の4つのコンポーネントから構成される。
CSLSモデルは、コード脆弱性検出における最先端のベースラインを上回り、Devignデータセットで70.57%、Revealデータセットで49.59%のF1スコアを達成している。
論文 参考訳(メタデータ) (2024-07-26T17:15:58Z) - AutoDetect: Towards a Unified Framework for Automated Weakness Detection in Large Language Models [95.09157454599605]
大規模言語モデル(LLM)はますます強力になってきていますが、それでも顕著ですが微妙な弱点があります。
従来のベンチマークアプローチでは、特定のモデルの欠陥を徹底的に特定することはできない。
さまざまなタスクにまたがるLLMの弱点を自動的に露呈する統合フレームワークであるAutoDetectを導入する。
論文 参考訳(メタデータ) (2024-06-24T15:16:45Z) - Security Vulnerability Detection with Multitask Self-Instructed Fine-Tuning of Large Language Models [8.167614500821223]
脆弱性検出のためのMSIVD, マルチタスクによる自己指示型微調整を, チェーン・オブ・シント・プロンプトとLDMによる自己指示にインスパイアした。
実験の結果,MSIVDは高い性能を示し,LineVul(LLMベースの脆弱性検出ベースライン)はBigVulデータセットでは0.92点,PreciseBugsデータセットでは0.48点であった。
論文 参考訳(メタデータ) (2024-06-09T19:18:05Z) - Harnessing Large Language Models for Software Vulnerability Detection: A Comprehensive Benchmarking Study [1.03590082373586]
ソースコードの脆弱性発見を支援するために,大規模言語モデル(LLM)を提案する。
目的は、複数の最先端のLCMをテストし、最も優れたプロンプト戦略を特定することである。
LLMは従来の静的解析ツールよりも多くの問題を特定でき、リコールやF1スコアの点で従来のツールよりも優れています。
論文 参考訳(メタデータ) (2024-05-24T14:59:19Z) - Vulnerability Detection with Code Language Models: How Far Are We? [40.455600722638906]
PrimeVulは、脆弱性検出のためのコードLMのトレーニングと評価のための新しいデータセットである。
これは、人間の検証されたベンチマークに匹敵するラベルの精度を達成する、新しいデータラベリング技術を含んでいる。
また、厳密なデータ重複解消戦略と時系列データ分割戦略を実装して、データの漏洩問題を軽減している。
論文 参考訳(メタデータ) (2024-03-27T14:34:29Z) - To Err is Machine: Vulnerability Detection Challenges LLM Reasoning [8.602355712876815]
脆弱性検出という,困難なコード推論タスクを提示する。
最新のSOTA(State-of-the-art)モデルでは,脆弱性検出評価では54.5%のバランスド精度しか報告されていない。
脆弱性検出を克服するためには、新しいモデル、新しいトレーニング方法、あるいはもっと実行固有の事前トレーニングデータが必要になるかもしれない。
論文 参考訳(メタデータ) (2024-03-25T21:47:36Z) - SliceLocator: Locating Vulnerable Statements with Graph-based Detectors [33.395068754566935]
SliceLocatorは、すべての潜在的な脆弱性トリガリングステートメントから、最も重み付けされたフローパスを選択することで、最も関連性の高いテントフローを特定する。
SliceLocatorは、最先端の4つのGNNベースの脆弱性検知器で一貫して動作することを示す。
論文 参考訳(メタデータ) (2024-01-05T10:15:04Z) - CodeLMSec Benchmark: Systematically Evaluating and Finding Security
Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。
これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。
この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
論文 参考訳(メタデータ) (2023-02-08T11:54:07Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - Software Vulnerability Detection via Deep Learning over Disaggregated
Code Graph Representation [57.92972327649165]
この研究は、コードコーパスから安全でないパターンを自動的に学習するためのディープラーニングアプローチを探求する。
コードには解析を伴うグラフ構造が自然に認められるため,プログラムの意味的文脈と構造的規則性の両方を利用する新しいグラフニューラルネットワーク(GNN)を開発する。
論文 参考訳(メタデータ) (2021-09-07T21:24:36Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。