論文の概要: TraceLens: Question-Driven Debugging for Taint Flow Understanding

• arxiv url: http://arxiv.org/abs/2508.07198v1
• Date: Sun, 10 Aug 2025 06:39:11 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-08-12 21:23:28.749605
• Title: TraceLens: Question-Driven Debugging for Taint Flow Understanding
• Title（参考訳）: TraceLens: タレントフロー理解のための質問駆動デバッグ
• Authors: Burak Yetiştiren, Hong Jin Kang, Miryung Kim,
• Abstract要約: タント解析のための最初のエンドユーザー質問応答型デバッグインタフェースであるTraceLensを提案する。 疑わしい流れの存在を調査するために、なぜ、なぜ、何の質問をするのかをユーザが問うことができる。 TraceLensを使用するユーザは、CodeQLと比較して平均で21%高い精度を達成した。
• 参考スコア（独自算出の注目度）: 7.092554770996391
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Taint analysis is a security analysis technique used to track the flow of potentially dangerous data through an application and its dependent libraries. Investigating why certain unexpected flows appear and why expected flows are missing is an important sensemaking process during end-user taint analysis. Existing taint analysis tools often do not provide this end-user debugging capability, where developers can ask why, why-not, and what-if questions about dataflows and reason about the impact of configuring sources and sinks, and models of 3rd-party libraries that abstract permissible and impermissible data flows. Furthermore, a tree-view or a list-view used in existing taint-analyzer's visualization makes it difficult to reason about the global impact on connectivity between multiple sources and sinks. Inspired by the insight that sensemaking tool-generated results can be significantly improved by a QA inquiry process, we propose TraceLens, a first end-user question-answer style debugging interface for taint analysis. It enables a user to ask why, why-not, and what-if questions to investigate the existence of suspicious flows, the non-existence of expected flows, and the global impact of third-party library models. TraceLens performs speculative what-if analysis, to help a user in debugging how different connectivity assumptions affect overall results. A user study with 12 participants shows that participants using TraceLens achieved 21% higher accuracy on average, compared to CodeQL. They also reported a 45% reduction in mental demand (NASA-TLX) and rated higher confidence in identifying relevant flows using TraceLens.
• Abstract（参考訳）: Taint Analysisは、アプリケーションとその依存ライブラリを通して潜在的に危険なデータの流れを追跡するために使用されるセキュリティ分析技術である。 ある種の予期せぬフローがなぜ出現し、予想されるフローが欠落しているかを調べることは、エンドユーザー・テナント分析において重要な意味付けプロセスである。 既存のテナント分析ツールは、このエンドユーザデバッグ機能を提供していないことが多く、開発者はなぜ、なぜ、何故、何故、データフローがソースやシンクの設定に与える影響について、また、許容できないデータフローを抽象化するサードパーティライブラリのモデルについて質問することができる。 さらに、既存のtaint-analyzerの視覚化に使用されるツリービューやリストビューは、複数のソースとシンク間の接続性に対する世界的影響を説明できない。 そこで本研究では,触覚ツール生成結果がQA調査プロセスによって大幅に改善されるという知見に触発されて,最初のエンドユーザー質問応答型デバッグインターフェースであるTraceLensを提案する。 疑わしいフローの存在、期待されるフローの非存在、そしてサードパーティのライブラリーモデルによる世界的影響を調べるために、なぜ、なぜ、何なのか、といった質問をユーザが行うことができる。 TraceLensは、ユーザがさまざまな接続仮定が全体的な結果にどのように影響するかをデバッグするのを助けるために、投機的なWhat-if分析を実行する。 12人の参加者によるユーザ調査によると、TraceLensを使用する参加者は、CodeQLと比較して平均で21%高い精度を達成した。 彼らはまた、精神的な需要(NASA-TLX)の45%削減を報告し、TraceLensを使用して関連するフローを識別する信頼性を高く評価した。

関連論文リスト

• VeriMinder: Mitigating Analytical Vulnerabilities in NL2SQL [11.830097026198308]
  自然言語インタフェースをデータベース(NLIDB)に適用したアプリケーションシステムは、データ分析を民主化している。 これはまた、統計分析のバックグラウンドなしにこれらのシステムを使用するユーザを支援する緊急の課題も生み出した。 We present VeriMinder, https://veriminder.ai, an Interactive system for detect and mitigating such analysisal vulnerabilities。
  論文  参考訳（メタデータ） (2025-07-23T19:48:12Z)
• Scalable Language Agnostic Taint Tracking using Explicit Data Dependencies [0.42855555838080833]
  本稿では,言語に依存しないデータ依存表現のためのシステムの設計と実装について述べる。 我々は、このデータフロー分析システムをオープンソースコード分析プラットフォームJoernに寄贈し、コミュニティに提供します。
  論文  参考訳（メタデータ） (2025-06-06T17:15:59Z)
• Follow the Flow: Fine-grained Flowchart Attribution with Neurosymbolic Agents [106.04963073116468]
  フローチャートは意思決定プロセスを視覚化するための重要なツールです。 視覚言語モデルは、これらの図を分析する際に、存在しない接続や決定経路を幻覚させる。 LLM応答を参照してフローチャートを接地する特定の成分をトレースするフローチャートについて紹介する。 本稿では, グラフベースの推論により微細なホック帰属を行うニューロシンボリック・エージェントであるFlowPathAgentを提案する。
  論文  参考訳（メタデータ） (2025-06-02T06:02:41Z)
• Retrieval-Augmented Generation with Conflicting Evidence [57.66282463340297]
  大規模言語モデル (LLM) エージェントは、応答の事実性を改善するために、検索強化世代 (RAG) をますます採用している。 実際には、これらのシステムは曖昧なユーザクエリを処理し、複数のソースからの情報に衝突する可能性がある。 RAMDocs(Retrieval with Ambiguity and Misinformation in Documents)は,ユーザクエリのエビデンスを矛盾させるような,複雑で現実的なシナリオをシミュレートする新しいデータセットである。
  論文  参考訳（メタデータ） (2025-04-17T16:46:11Z)
• Unified Semantic Log Parsing and Causal Graph Construction for Attack Attribution [3.9936021096611576]
  マルチソースログは、進行中のシステムアクティビティの包括的概要を提供し、詳細な分析によって潜在的な脅威を検出することができる。 脅威検出の実践的なアプローチは、システム動作の分析を容易にするために、グラフを構築するためのエンティティトリプル(オブジェクト、アクション、オブジェクト)を明示的に抽出することである。 個別のログソースから複数のサブグラフをマージして因果グラフを構築するために意味解析を採用する。
  論文  参考訳（メタデータ） (2024-11-22T21:40:19Z)
• LLMDFA: Analyzing Dataflow in Code with Large Language Models [8.92611389987991]
  本稿では,コンパイル不要でカスタマイズ可能なデータフロー解析フレームワークLLMDFAを提案する。 問題をいくつかのサブタスクに分解し、一連の新しい戦略を導入する。 LLMDFAは平均87.10%の精度と80.77%のリコールを達成し、F1スコアを最大0.35に向上させた。
  論文  参考訳（メタデータ） (2024-02-16T15:21:35Z)
• PyRCA: A Library for Metric-based Root Cause Analysis [66.72542200701807]
  PyRCAは、AIOps(AIOps)のためのRoot Cause Analysis(RCA)のオープンソースの機械学習ライブラリである。 複雑なメトリクス因果依存性を明らかにし、インシデントの根本原因を自動的に特定する、包括的なフレームワークを提供する。
  論文  参考訳（メタデータ） (2023-06-20T09:55:10Z)
• Salesforce CausalAI Library: A Fast and Scalable Framework for Causal Analysis of Time Series and Tabular Data [76.85310770921876]
  観測データを用いた因果解析のためのオープンソースライブラリであるSalesforce CausalAI Libraryを紹介した。 このライブラリの目標は、因果関係の領域における様々な問題に対して、迅速かつ柔軟なソリューションを提供することである。
  論文  参考訳（メタデータ） (2023-01-25T22:42:48Z)
• Competency Problems: On Finding and Removing Artifacts in Language Data [50.09608320112584]
  複雑な言語理解タスクでは、すべての単純な特徴相関が突発的であると論じる。 人間バイアスを考慮したコンピテンシー問題に対するデータ作成の難しさを理論的に分析します。
  論文  参考訳（メタデータ） (2021-04-17T21:34:10Z)
• Supervised Feature Selection Techniques in Network Intrusion Detection: a Critical Review [9.177695323629896]
  機械学習技術は、ネットワーク侵入検出の貴重なサポートになりつつある。 データトラフィックを特徴付ける膨大な多様性と多数の機能に対処することは難しい問題です。 機能領域を縮小し、最も重要な機能のみを保持することで、FS(Feature Selection)はネットワーク管理において重要な前処理ステップとなる。
  論文  参考訳（メタデータ） (2021-04-11T08:42:01Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。