論文の概要: Mono: Is Your "Clean" Vulnerability Dataset Really Solvable? Exposing and Trapping Undecidable Patches and Beyond

• arxiv url: http://arxiv.org/abs/2506.03651v1
• Date: Wed, 04 Jun 2025 07:43:04 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-06-05 21:20:14.200109
• Title: Mono: Is Your "Clean" Vulnerability Dataset Really Solvable? Exposing and Trapping Undecidable Patches and Beyond
• Title（参考訳）: Mono:あなたの"クリーン"脆弱性データセットは本当に解決可能か?
• Authors: Zeyu Gao, Junlin Zhou, Bolun Zhang, Yi He, Chao Zhang, Yuxin Cui, Hao Wang,
• Abstract要約: 既存のセキュリティパッチは、しばしば不正確なラベル、不十分なコンテキスト情報、決定不能なパッチに悩まされる。 信頼性のある脆弱性データセットを構築するための、人間の専門家の推論プロセスをシミュレートする、新しいフレームワークであるmonoを紹介します。 monoはラベリングエラーの31.0%を補正し、プロデュール間脆弱性の89%を回復し、CVEの16.7%が決定不能なパッチを含んでいることを明らかにした。
• 参考スコア（独自算出の注目度）: 10.072175823846973
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: The quantity and quality of vulnerability datasets are essential for developing deep learning solutions to vulnerability-related tasks. Due to the limited availability of vulnerabilities, a common approach to building such datasets is analyzing security patches in source code. However, existing security patches often suffer from inaccurate labels, insufficient contextual information, and undecidable patches that fail to clearly represent the root causes of vulnerabilities or their fixes. These issues introduce noise into the dataset, which can mislead detection models and undermine their effectiveness. To address these issues, we present mono, a novel LLM-powered framework that simulates human experts' reasoning process to construct reliable vulnerability datasets. mono introduces three key components to improve security patch datasets: (i) semantic-aware patch classification for precise vulnerability labeling, (ii) iterative contextual analysis for comprehensive code understanding, and (iii) systematic root cause analysis to identify and filter undecidable patches. Our comprehensive evaluation on the MegaVul benchmark demonstrates that mono can correct 31.0% of labeling errors, recover 89% of inter-procedural vulnerabilities, and reveals that 16.7% of CVEs contain undecidable patches. Furthermore, mono's enriched context representation improves existing models' vulnerability detection accuracy by 15%. We open source the framework mono and the dataset MonoLens in https://github.com/vul337/mono.
• Abstract（参考訳）: 脆弱性に関連するタスクに対するディープラーニングソリューションを開発するには、脆弱性データセットの量と品質が不可欠である。 脆弱性の可用性が限られているため、そのようなデータセットを構築するための一般的なアプローチは、ソースコードのセキュリティパッチを分析することである。 しかし、既存のセキュリティパッチは、しばしば不正確なラベル、不十分なコンテキスト情報、そして脆弱性や修正の根本原因を明確に表現できない決定不能なパッチに悩まされる。 これらの問題はデータセットにノイズを導入し、検出モデルを誤解させ、その効果を損なう可能性がある。 これらの問題に対処するため,我々は,信頼性の高い脆弱性データセットを構築するための人間専門家の推論プロセスをシミュレートする,新しいLLMフレームワークであるmonoを紹介した。 monoはセキュリティパッチデータセットを改善するために3つの重要なコンポーネントを導入している。 (i)正確な脆弱性ラベリングのためのセマンティック・アウェア・パッチ分類 二 包括的コード理解のための反復的文脈分析、及び 三 系統的根本原因分析により、決定不能なパッチを特定し、フィルタリングする。 MegaVulベンチマークの包括的な評価は、Monoが31.0%のラベリングエラーを修正でき、プロセス間脆弱性の89%を回復できることを示し、CVEの16.7%が決定不能なパッチを含むことを明らかにした。 さらに、Monoの豊富なコンテキスト表現により、既存のモデルの脆弱性検出精度が15%向上する。 フレームワーク Mono とデータセット MonoLens を https://github.com/vul337/mono でオープンソースにしています。

関連論文リスト

• SecVulEval: Benchmarking LLMs for Real-World C/C++ Vulnerability Detection [8.440793630384546]
  大規模言語モデル(LLM)は、ソフトウェア工学のタスクにおいて有望であることを示している。 高品質なデータセットがないため、脆弱性検出の有効性を評価するのは難しい。 このベンチマークには、1999年から2024年までのC/C++プロジェクトで5,867のCVEをカバーする25,440の関数サンプルが含まれている。
  論文  参考訳（メタデータ） (2025-05-26T11:06:03Z)
• CommitShield: Tracking Vulnerability Introduction and Fix in Version Control Systems [15.037460085046806]
  CommitShieldは、コードコミットの脆弱性を検出するツールである。 静的解析ツールのコード解析機能と、大きな言語モデルの自然言語とコード理解機能を組み合わせる。 脆弱性修正検出タスクの最先端メソッドに対して,CommitShieldはリコールを76%～87%改善することを示す。
  論文  参考訳（メタデータ） (2025-01-07T08:52:55Z)
• Learning Graph-based Patch Representations for Identifying and Assessing Silent Vulnerability Fixes [5.983725940750908]
  ソフトウェアプロジェクトは多くのサードパーティのライブラリに依存しているため、リスクの高い脆弱性は依存関係チェーンを通じて下流のプロジェクトへと伝播する可能性がある。 無力な脆弱性修正は、ダウンストリームソフトウェアが緊急のセキュリティ問題にタイムリーに気付いておらず、ソフトウェアにセキュリティリスクを生じさせる。 本稿ではGRAphベースのパッチrEpresentationであるGRAPEを提案する。
  論文  参考訳（メタデータ） (2024-09-13T03:23:11Z)
• Line-level Semantic Structure Learning for Code Vulnerability Detection [44.29771620061153]
  ラインレベルのセマンティックラーニングを通じて,コード構造認識ネットワークを導入する。 コード前処理、グローバルセマンティック認識、ラインセマンティック認識、ラインセマンティック構造認識の4つのコンポーネントから構成される。 CSLSモデルは、コード脆弱性検出における最先端のベースラインを上回り、Devignデータセットで70.57%、Revealデータセットで49.59%のF1スコアを達成している。
  論文  参考訳（メタデータ） (2024-07-26T17:15:58Z)
• Vulnerability Detection with Code Language Models: How Far Are We? [40.455600722638906]
  PrimeVulは、脆弱性検出のためのコードLMのトレーニングと評価のための新しいデータセットである。 これは、人間の検証されたベンチマークに匹敵するラベルの精度を達成する、新しいデータラベリング技術を含んでいる。 また、厳密なデータ重複解消戦略と時系列データ分割戦略を実装して、データの漏洩問題を軽減している。
  論文  参考訳（メタデータ） (2024-03-27T14:34:29Z)
• ReposVul: A Repository-Level High-Quality Vulnerability Dataset [13.90550557801464]
  自動データ収集フレームワークを提案し,ReposVulと呼ばれる最初のリポジトリレベルの高品質な脆弱性データセットを構築した。 提案するフレームワークは,主に3つのモジュールから構成されている。(1)脆弱性解消モジュールは,脆弱性修正に関連するコード変更を,大規模言語モデル (LLM) と静的解析ツールを併用した,絡み合ったパッチから識別することを目的としたもので,(2)脆弱性の相互呼び出し関係の把握を目的とした多言語依存性抽出モジュールで,リポジトリレベル,ファイルレベル,関数レベルを含む各脆弱性パッチに対して,複数の粒度情報を構築する。
  論文  参考訳（メタデータ） (2024-01-24T01:27:48Z)
• REEF: A Framework for Collecting Real-World Vulnerabilities and Fixes [40.401211102969356]
  本稿では,REal-world vulnErabilities and Fixesをオープンソースリポジトリから収集するための自動収集フレームワークREEFを提案する。 脆弱性とその修正を収集する多言語クローラを開発し、高品質な脆弱性修正ペアをフィルタするためのメトリクスを設計する。 大規模な実験を通じて,我々の手法が高品質な脆弱性修正ペアを収集し,強力な説明を得られることを示す。
  論文  参考訳（メタデータ） (2023-09-15T02:50:08Z)
• DeepfakeBench: A Comprehensive Benchmark of Deepfake Detection [55.70982767084996]
  ディープフェイク検出の分野で見落とされがちな課題は、標準化され、統一され、包括的なベンチマークがないことである。 DeepfakeBenchと呼ばれる,3つの重要なコントリビューションを提供するディープフェイク検出のための,最初の包括的なベンチマークを提示する。 DeepfakeBenchには15の最先端検出方法、9CLデータセット、一連のDeepfake検出評価プロトコルと分析ツール、包括的な評価ツールが含まれている。
  論文  参考訳（メタデータ） (2023-07-04T01:34:41Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。