論文の概要: VIVID: A Novel Approach to Remediation Prioritization in Static Application Security Testing (SAST)

• arxiv url: http://arxiv.org/abs/2505.16205v1
• Date: Thu, 22 May 2025 04:16:56 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-05-23 17:12:48.030176
• Title: VIVID: A Novel Approach to Remediation Prioritization in Static Application Security Testing (SAST)
• Title（参考訳）: VIVID: 静的アプリケーションセキュリティテスト(SAST)における修正優先化の新しいアプローチ
• Authors: Naeem Budhwani, Mohammad Faghani, Hayden Richard,
• Abstract要約: VIVID - Vulnerability Information Via Data Flow - SASTの洞察を抽出し、消費する新しい方法である。 本研究では,高脆弱性トラフィックを示すファイルに,外度,間性中心性,固有ベクトル内中心性,直交接続性を関連づけたシミュレーションを行った。 これは、セキュリティコントロールを組み込むためのエビデンスベースの優先順位付けされたファイルのリストを自動的に開発チームに提供する新しい方法である。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Static Application Security Testing (SAST) enables organizations to detect vulnerabilities in code early; however, major SAST platforms do not include visual aids and present little insight on correlations between tainted data chains. We propose VIVID - Vulnerability Information Via Data flow - a novel method to extract and consume SAST insights, which is to graph the application's vulnerability data flows (VDFs) and carry out graph theory analysis on the resulting VDF directed graph. Nine metrics were assessed to evaluate their effectiveness in analyzing the VDF graphs of deliberately insecure web applications. These metrics include 3 centrality metrics, 2 structural metrics, PageRank, in-degree, out-degree, and cross-clique connectivity. We present simulations that find that out-degree, betweenness centrality, in-eigenvector centrality, and cross-clique connectivity were found to be associated with files exhibiting high vulnerability traffic, making them refactoring candidates where input sanitization may have been missed. Meanwhile, out-eigenvector centrality, PageRank, and in-degree were found to be associated with nodes enabling vulnerability flow and sinks, but not necessarily where input validation should be placed. This is a novel method to automatically provide development teams an evidence-based prioritized list of files to embed security controls into, informed by vulnerability propagation patterns in the application architecture.
• Abstract（参考訳）: 静的アプリケーションセキュリティテスト(SAST)は、組織がコード内の脆弱性を早期に検出することを可能にする。 VIVID - Vulnerability Information Via Data Flow - アプリケーションの脆弱性データフロー(VDF)をグラフ化し、その結果のVDF指向グラフに関するグラフ理論解析を行う、SASTインサイトを抽出・消費する新しい方法を提案する。 安全でないWebアプリケーションのVDFグラフ解析において,9つの指標が有効性を評価するために評価された。 これらのメトリクスには、3つの集中度メトリクス、2つの構造メトリクス、PageRank、in-degree、out-degree、cross-clique接続が含まれる。 筆者らは,入力衛生化が欠落している可能性のあるファイルに,外度,中度,固有ベクトル中央度,直交接続が関連していることを示すシミュレーションを行った。 一方、Eigenvector Centrality、PageRank、In-degreeは、脆弱性フローとシンクを可能にするノードと関連付けられているが、必ずしも入力バリデーションを配置すべき場所ではない。 これは、セキュリティコントロールをアプリケーションアーキテクチャに埋め込むために、エビデンスベースの優先順位付けされたファイルのリストを自動的に開発チームに提供する新しい方法である。

関連論文リスト

• Advancing Vulnerability Classification with BERT: A Multi-Objective Learning Model [0.0]
  本稿では,BERT(Bi Representations from Transformers)モデルを用いて複数ラベル分類を行う新しい脆弱性レポートを提案する。 システムはREST APIとStreamlit UIを介してデプロイされ、リアルタイムの脆弱性分析を可能にする。
  論文  参考訳（メタデータ） (2025-03-26T06:04:45Z)
• Beyond the Surface: An NLP-based Methodology to Automatically Estimate CVE Relevance for CAPEC Attack Patterns [42.63501759921809]
  本稿では,自然言語処理(NLP)を利用して,共通脆弱性・暴露(CAPEC)脆弱性と共通攻撃パターン・分類(CAPEC)攻撃パターンを関連付ける手法を提案する。 実験による評価は,最先端モデルと比較して優れた性能を示した。
  論文  参考訳（メタデータ） (2025-01-13T08:39:52Z)
• CONTINUUM: Detecting APT Attacks through Spatial-Temporal Graph Neural Networks [0.9553673944187253]
  Advanced Persistent Threats (APT) はサイバーセキュリティにおいて重要な課題である。 従来の侵入検知システム(IDS)は、これらの多段階攻撃を検出するのに不足することが多い。
  論文  参考訳（メタデータ） (2025-01-06T12:43:59Z)
• DFEPT: Data Flow Embedding for Enhancing Pre-Trained Model Based Vulnerability Detection [7.802093464108404]
  本稿では,脆弱性検出タスクにおける事前学習モデルの性能向上を目的としたデータフロー埋め込み手法を提案する。 具体的には,関数レベルのソースコードからデータフローグラフを解析し,DFGのノード特性として変数のデータ型を使用する。 我々の研究は、DFEPTが事前訓練されたモデルに効果的な脆弱性セマンティック情報を提供し、Devignデータセットで64.97%、Revealデータセットで47.9%のF1スコアを達成できることを示している。
  論文  参考訳（メタデータ） (2024-10-24T07:05:07Z)
• Profile of Vulnerability Remediations in Dependencies Using Graph Analysis [40.35284812745255]
  本研究では,グラフ解析手法と改良型グラフ注意畳み込みニューラルネットワーク(GAT)モデルを提案する。 制御フローグラフを分析して、脆弱性の修正を目的とした依存性のアップグレードから発生するアプリケーションの変更をプロファイルします。 結果は、コード脆弱性のリレーショナルダイナミクスに関する微妙な洞察を提供する上で、強化されたGATモデルの有効性を示す。
  論文  参考訳（メタデータ） (2024-03-08T02:01:47Z)
• An Unbiased Transformer Source Code Learning with Semantic Vulnerability Graph [3.3598755777055374]
  現在の脆弱性スクリーニング技術は、新しい脆弱性を特定したり、開発者がコード脆弱性と分類を提供するのに効果がない。 これらの問題に対処するために,変換器 "RoBERTa" とグラフ畳み込みニューラルネットワーク (GCN) を組み合わせたマルチタスク・アンバイアス脆弱性分類器を提案する。 本稿では、逐次フロー、制御フロー、データフローからエッジを統合することで生成されたソースコードからのセマンティック脆弱性グラフ(SVG)表現と、Poacher Flow(PF)と呼ばれる新しいフローを利用したトレーニングプロセスを提案する。
  論文  参考訳（メタデータ） (2023-04-17T20:54:14Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)
• Attentive Prototypes for Source-free Unsupervised Domain Adaptive 3D Object Detection [85.11649974840758]
  3Dオブジェクト検出ネットワークは、トレーニングされたデータに対してバイアスを受ける傾向がある。 そこで本研究では,ライダーを用いた3次元物体検出器のソースレス・教師なし領域適応のための単一フレーム手法を提案する。
  論文  参考訳（メタデータ） (2021-11-30T18:42:42Z)
• Higher Performance Visual Tracking with Dual-Modal Localization [106.91097443275035]
  Visual Object Tracking (VOT)は、堅牢性と正確性の両方に同期性を必要とする。 ONRによるロバストなローカリゼーション抑制器とOFCによるターゲットセンターへの正確なローカリゼーションにより、ターゲットローカリゼーションのためのデュアルモーダルフレームワークを提案します。
  論文  参考訳（メタデータ） (2021-03-18T08:47:56Z)
• Graph Backdoor [53.70971502299977]
  GTAはグラフニューラルネットワーク(GNN)に対する最初のバックドア攻撃である。 GTAは、トポロジカル構造と記述的特徴の両方を含む特定の部分グラフとしてトリガーを定義する。 トランスダクティブ(ノード分類など)とインダクティブ(グラフ分類など)の両方のタスクに対してインスタンス化することができる。
  論文  参考訳（メタデータ） (2020-06-21T19:45:30Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。