論文の概要: FuncVul: An Effective Function Level Vulnerability Detection Model using LLM and Code Chunk

• arxiv url: http://arxiv.org/abs/2506.19453v1
• Date: Tue, 24 Jun 2025 09:30:40 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-06-25 19:48:23.570068
• Title: FuncVul: An Effective Function Level Vulnerability Detection Model using LLM and Code Chunk
• Title（参考訳）: FuncVul: LLMとコードチャンクを用いた効果的な機能レベルの脆弱性検出モデル
• Authors: Sajal Halder, Muhammad Ejaz Ahmed, Seyit Camtepe,
• Abstract要約: ソフトウェアサプライチェーンの脆弱性は、攻撃者が広く使われているパッケージやライブラリに脆弱性のあるコードを注入する際に発生する。 本稿では,C/C++とPythonの関数レベル脆弱性検出のためのコードチャンクベースモデルであるFuncVulを紹介する。 FuncVulは、より小さくクリティカルなコードセグメントに焦点を当てて、関数内の複数の脆弱性を特定する。
• 参考スコア（独自算出の注目度）: 8.736988409083981
• License: http://creativecommons.org/licenses/by-nc-nd/4.0/
• Abstract: Software supply chain vulnerabilities arise when attackers exploit weaknesses by injecting vulnerable code into widely used packages or libraries within software repositories. While most existing approaches focus on identifying vulnerable packages or libraries, they often overlook the specific functions responsible for these vulnerabilities. Pinpointing vulnerable functions within packages or libraries is critical, as it can significantly reduce the risks associated with using open-source software. Identifying vulnerable patches is challenging because developers often submit code changes that are unrelated to vulnerability fixes. To address this issue, this paper introduces FuncVul, an innovative code chunk-based model for function-level vulnerability detection in C/C++ and Python, designed to identify multiple vulnerabilities within a function by focusing on smaller, critical code segments. To assess the model's effectiveness, we construct six code and generic code chunk based datasets using two approaches: (1) integrating patch information with large language models to label vulnerable samples and (2) leveraging large language models alone to detect vulnerabilities in function-level code. To design FuncVul vulnerability model, we utilise GraphCodeBERT fine tune model that captures both the syntactic and semantic aspects of code. Experimental results show that FuncVul outperforms existing state-of-the-art models, achieving an average accuracy of 87-92% and an F1 score of 86-92% across all datasets. Furthermore, we have demonstrated that our code-chunk-based FuncVul model improves 53.9% accuracy and 42.0% F1-score than the full function-based vulnerability prediction. The FuncVul code and datasets are publicly available on GitHub at https://github.com/sajalhalder/FuncVul.
• Abstract（参考訳）: ソフトウェアサプライチェーンの脆弱性は、攻撃者がソフトウェアリポジトリ内で広く使用されているパッケージやライブラリに脆弱性のあるコードを注入することによって脆弱性を悪用した時に発生する。 既存のアプローチでは、脆弱性のあるパッケージやライブラリの特定に重点を置いているが、脆弱性の原因となる特定の機能を見落としていることが多い。 パッケージやライブラリ内で脆弱な関数をピンポイントすることは、オープンソースソフトウェアの使用に伴うリスクを大幅に削減できるため、非常に重要である。 脆弱性の特定は難しい。開発者は脆弱性修正とは無関係なコード変更を提出することが多いからだ。 本稿では,C/C++とPythonにおける関数レベルの脆弱性検出のための革新的なコードチャンクベースモデルであるFuncVulを紹介する。 モデルの有効性を評価するために,(1)大規模言語モデルとパッチ情報を統合して脆弱なサンプルをラベル付けする,2)機能レベルのコードの脆弱性を検出するために,大規模言語モデルのみを活用する,という2つのアプローチを用いて,6つのコードと一般的なコードチャンクベースのデータセットを構築した。 FuncVul脆弱性モデルを設計するために、コードの構文的側面と意味的側面の両方をキャプチャするGraphCodeBERTファインチューニングモデルを使用します。 実験の結果、FuncVulは既存の最先端モデルよりも優れており、平均精度は87-92%、F1スコアは86-92%である。 さらに、コードチャンクベースのFuncVulモデルでは、完全な関数ベースの脆弱性予測よりも53.9%の精度と42.0%のF1スコアが向上することを示した。 FuncVulのコードとデータセットはGitHubでhttps://github.com/sajalhalder/FuncVulで公開されている。

関連論文リスト

• CyberGym: Evaluating AI Agents' Cybersecurity Capabilities with Real-World Vulnerabilities at Scale [46.76144797837242]
  大規模言語モデル(LLM)エージェントは、自律的なサイバーセキュリティタスクの処理において、ますます熟練している。 既存のベンチマークは不足していて、現実のシナリオをキャプチャできなかったり、スコープが限られていたりします。 我々はCyberGymを紹介した。CyberGymは1,507の現実世界の脆弱性を特徴とする大規模かつ高品質なサイバーセキュリティ評価フレームワークである。
  論文  参考訳（メタデータ） (2025-06-03T07:35:14Z)
• SecVulEval: Benchmarking LLMs for Real-World C/C++ Vulnerability Detection [8.440793630384546]
  大規模言語モデル(LLM)は、ソフトウェア工学のタスクにおいて有望であることを示している。 高品質なデータセットがないため、脆弱性検出の有効性を評価するのは難しい。 このベンチマークには、1999年から2024年までのC/C++プロジェクトで5,867のCVEをカバーする25,440の関数サンプルが含まれている。
  論文  参考訳（メタデータ） (2025-05-26T11:06:03Z)
• Vulnerability Detection with Code Language Models: How Far Are We? [40.455600722638906]
  PrimeVulは、脆弱性検出のためのコードLMのトレーニングと評価のための新しいデータセットである。 これは、人間の検証されたベンチマークに匹敵するラベルの精度を達成する、新しいデータラベリング技術を含んでいる。 また、厳密なデータ重複解消戦略と時系列データ分割戦略を実装して、データの漏洩問題を軽減している。
  論文  参考訳（メタデータ） (2024-03-27T14:34:29Z)
• SliceLocator: Locating Vulnerable Statements with Graph-based Detectors [33.395068754566935]
  SliceLocatorは、すべての潜在的な脆弱性トリガリングステートメントから、最も重み付けされたフローパスを選択することで、最も関連性の高いテントフローを特定する。 SliceLocatorは、最先端の4つのGNNベースの脆弱性検知器で一貫して動作することを示す。
  論文  参考訳（メタデータ） (2024-01-05T10:15:04Z)
• CodeLMSec Benchmark: Systematically Evaluating and Finding Security Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
  自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。 これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。 この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
  論文  参考訳（メタデータ） (2023-02-08T11:54:07Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)
• Multi-context Attention Fusion Neural Network for Software Vulnerability Identification [4.05739885420409]
  ソースコードのセキュリティ脆弱性の共通カテゴリのいくつかを効率的に検出することを学ぶディープラーニングモデルを提案する。 モデルは、学習可能なパラメータの少ないコードセマンティクスの正確な理解を構築します。 提案したAIは、ベンチマークされたNIST SARDデータセットから特定のCWEに対して98.40%のF1スコアを達成する。
  論文  参考訳（メタデータ） (2021-04-19T11:50:36Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。