Fugu-MT 論文翻訳(概要): SAVANT: Vulnerability Detection in Application Dependencies through Semantic-Guided Reachability Analysis

論文の概要: SAVANT: Vulnerability Detection in Application Dependencies through Semantic-Guided Reachability Analysis

arxiv url: http://arxiv.org/abs/2506.17798v1
Date: Sat, 21 Jun 2025 19:48:13 GMT
ステータス: 翻訳完了
システム内更新日: 2025-06-24 19:06:36.591912
Title: SAVANT: Vulnerability Detection in Application Dependencies through Semantic-Guided Reachability Analysis
Title（参考訳）: SAVANT: Semantic-Guided Reachability解析によるアプリケーション依存の脆弱性検出
Authors: Wang Lingxiang, Quanzhi Fu, Wenjia Song, Gelei Deng, Yi Liu, Dan Williams, Ying Zhang,
Abstract要約: Java開発におけるオープンソースのサードパーティライブラリの依存関係の統合は、重大なセキュリティリスクをもたらす。 Savantは、セマンティックプリプロセッシングとLLMによるコンテキスト分析を組み合わせて、正確な脆弱性検出を行う。 Savantは83.8%の精度、73.8%のリコール、69.0%の精度、78.5%のF1スコアを達成し、最先端のSCAツールを上回っている。
参考スコア（独自算出の注目度）: 6.989158266868967
License: http://creativecommons.org/licenses/by-nc-nd/4.0/
Abstract: The integration of open-source third-party library dependencies in Java development introduces significant security risks when these libraries contain known vulnerabilities. Existing Software Composition Analysis (SCA) tools struggle to effectively detect vulnerable API usage from these libraries due to limitations in understanding API usage semantics and computational challenges in analyzing complex codebases, leading to inaccurate vulnerability alerts that burden development teams and delay critical security fixes. To address these challenges, we proposed SAVANT by leveraging two insights: proof-of-vulnerability test cases demonstrate how vulnerabilities can be triggered in specific contexts, and Large Language Models (LLMs) can understand code semantics. SAVANT combines semantic preprocessing with LLM-powered context analysis for accurate vulnerability detection. SAVANT first segments source code into meaningful blocks while preserving semantic relationships, then leverages LLM-based reflection to analyze API usage context and determine actual vulnerability impacts. Our evaluation on 55 real-world applications shows that SAVANT achieves 83.8% precision, 73.8% recall, 69.0% accuracy, and 78.5% F1-score, outperforming state-of-the-art SCA tools.
Abstract（参考訳）: Java開発におけるオープンソースのサードパーティライブラリの依存関係の統合は、これらのライブラリが既知の脆弱性を含んでいる場合、重大なセキュリティリスクをもたらす。既存のソフトウェア構成分析(SCA)ツールは、複雑なコードベースを解析する際のAPI使用セマンティクスや計算上の問題を理解するのに制限があるため、これらのライブラリから脆弱性のあるAPIの使用を効果的に検出するのに苦労している。これらの課題に対処するために、私たちは2つの洞察を活用することでSAVANTを提案しました: 実証-オブ-ハザーバビリティテストケースは、特定のコンテキストにおいて脆弱性がどのように引き起こされるかを示し、Large Language Models(LLM)はコードのセマンティクスを理解することができます。 SAVANTは、意味前処理とLLMを用いたコンテキスト分析を組み合わせて、正確な脆弱性検出を行う。 SAVANTはソースコードを意味のあるブロックに分割し、セマンティックな関係を保ち、LLMベースのリフレクションを利用してAPI使用状況を分析し、実際の脆弱性の影響を判定する。実世界の55のアプリケーションに対する評価では、SAVANTは83.8%の精度、73.8%のリコール、69.0%の精度、78.5%のF1スコアを達成し、最先端のSCAツールを上回っている。

関連論文リスト

CyberGym: Evaluating AI Agents' Cybersecurity Capabilities with Real-World Vulnerabilities at Scale [46.76144797837242]
大規模言語モデル(LLM)エージェントは、自律的なサイバーセキュリティタスクの処理において、ますます熟練している。既存のベンチマークは不足していて、現実のシナリオをキャプチャできなかったり、スコープが限られていたりします。我々はCyberGymを紹介した。CyberGymは1,507の現実世界の脆弱性を特徴とする大規模かつ高品質なサイバーセキュリティ評価フレームワークである。
論文参考訳（メタデータ） (2025-06-03T07:35:14Z)
Context-Enhanced Vulnerability Detection Based on Large Language Model [17.922081397554155]
本稿では,プログラム解析と大規模言語モデルを組み合わせたコンテキスト強化型脆弱性検出手法を提案する。具体的には、プログラム分析を用いて、様々なレベルの抽象レベルで文脈情報を抽出し、無関係なノイズを除去する。私たちのゴールは、脆弱性を正確に捉え、不要な複雑さを最小限に抑えるのに十分な詳細を提供することのバランスを取ることです。
論文参考訳（メタデータ） (2025-04-23T16:54:16Z)
EXPLICATE: Enhancing Phishing Detection through Explainable AI and LLM-Powered Interpretability [44.2907457629342]
EXPLICATEは、三成分アーキテクチャによるフィッシング検出を強化するフレームワークである。既存のディープラーニング技術と同等ですが、説明性が向上しています。自動AIとフィッシング検出システムにおけるユーザ信頼の重大な隔たりに対処する。
論文参考訳（メタデータ） (2025-03-22T23:37:35Z)
Benchmarking LLMs and LLM-based Agents in Practical Vulnerability Detection for Code Repositories [8.583591493627276]
JitVulは、各関数をその脆弱性導入とコミットの修正にリンクする脆弱性検出ベンチマークである。思考・行動・観察と相互言語的文脈を活用するReAct Agentsは,良性のあるコードと区別する上で,LLMよりも優れた性能を示すことを示す。
論文参考訳（メタデータ） (2025-03-05T15:22:24Z)
Exploring Automatic Cryptographic API Misuse Detection in the Era of LLMs [60.32717556756674]
本稿では,暗号誤用の検出において,大規模言語モデルを評価するための体系的評価フレームワークを提案する。 11,940個のLCM生成レポートを詳細に分析したところ、LSMに固有の不安定性は、報告の半数以上が偽陽性になる可能性があることがわかった。最適化されたアプローチは、従来の手法を超え、確立されたベンチマークでこれまで知られていなかった誤用を明らかにすることで、90%近い顕著な検出率を達成する。
論文参考訳（メタデータ） (2024-07-23T15:31:26Z)
IRIS: LLM-Assisted Static Analysis for Detecting Security Vulnerabilities [14.188864624736938]
大規模な言語モデル(LLM)は印象的なコード生成機能を示しているが、そのような脆弱性を検出するためにコードに対して複雑な推論を行うことはできない。我々は,LLMと静的解析を体系的に組み合わせ,セキュリティ脆弱性検出のための全体リポジトリ推論を行うニューロシンボリックアプローチであるIRISを提案する。
論文参考訳（メタデータ） (2024-05-27T14:53:35Z)
SliceLocator: Locating Vulnerable Statements with Graph-based Detectors [33.395068754566935]
SliceLocatorは、すべての潜在的な脆弱性トリガリングステートメントから、最も重み付けされたフローパスを選択することで、最も関連性の高いテントフローを特定する。 SliceLocatorは、最先端の4つのGNNベースの脆弱性検知器で一貫して動作することを示す。
論文参考訳（メタデータ） (2024-01-05T10:15:04Z)
Understanding the Effectiveness of Large Language Models in Detecting Security Vulnerabilities [12.82645410161464]
5つの異なるセキュリティデータセットから5,000のコードサンプルに対して、16の事前学習された大規模言語モデルの有効性を評価する。全体として、LSMは脆弱性の検出において最も穏やかな効果を示し、データセットの平均精度は62.8%、F1スコアは0.71である。ステップバイステップ分析を含む高度なプロンプト戦略は、F1スコア(平均0.18まで)で実世界のデータセット上でのLLMのパフォーマンスを著しく向上させることがわかった。
論文参考訳（メタデータ） (2023-11-16T13:17:20Z)
VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文参考訳（メタデータ） (2021-12-20T22:45:27Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。