論文の概要: Leveraging Code Cohesion Analysis to Identify Source Code Supply Chain Attacks

• arxiv url: http://arxiv.org/abs/2510.14778v1
• Date: Thu, 16 Oct 2025 15:14:04 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-10-17 21:15:14.917601
• Title: Leveraging Code Cohesion Analysis to Identify Source Code Supply Chain Attacks
• Title（参考訳）: ソースコードサプライチェーンアタックを識別するためのコード結合解析の活用
• Authors: Maor Reuben, Ido Mendel, Or Feldman, Moshe Kravchik, Mordehai Guri, Rami Puzis,
• Abstract要約: サプライチェーン攻撃は、正当なプロジェクト内で悪意のあるコードインジェクションによって、ソフトウェアのセキュリティを著しく脅かす。 本稿では,ソースコードの凝集破壊を定量化することにより,スプリアスコードインジェクションの強調のための教師なしアプローチを提案する。 369のオープンソースC++レポジトリに対する54,707の関数の解析により、コードインジェクションが凝集を減少させることが明らかになった。
• 参考スコア（独自算出の注目度）: 4.875767567748654
• License: http://creativecommons.org/licenses/by-nc-nd/4.0/
• Abstract: Supply chain attacks significantly threaten software security with malicious code injections within legitimate projects. Such attacks are very rare but may have a devastating impact. Detecting spurious code injections using automated tools is further complicated as it often requires deciphering the intention of both the inserted code and its context. In this study, we propose an unsupervised approach for highlighting spurious code injections by quantifying cohesion disruptions in the source code. Using a name-prediction-based cohesion (NPC) metric, we analyze how function cohesion changes when malicious code is introduced compared to natural cohesion fluctuations. An analysis of 54,707 functions over 369 open-source C++ repositories reveals that code injection reduces cohesion and shifts naming patterns toward shorter, less descriptive names compared to genuine function updates. Considering the sporadic nature of real supply-chain attacks, we evaluate the proposed method with extreme test-set imbalance and show that monitoring high-cohesion functions with NPC can effectively detect functions with injected code, achieving a Precision@100 of 36.41% at a 1:1,000 ratio and 12.47% at 1:10,000. These results suggest that automated cohesion measurements, in general, and name-prediction-based cohesion, in particular, may help identify supply chain attacks, improving source code integrity.
• Abstract（参考訳）: サプライチェーン攻撃は、正当なプロジェクト内で悪意のあるコードインジェクションによって、ソフトウェアのセキュリティを著しく脅かす。 このような攻撃は非常に稀であるが、破壊的な影響がある可能性がある。 自動ツールを使用して急激なコードインジェクションを検出することは、挿入されたコードとそのコンテキストの両方の意図を解読する必要があることが多いため、さらに複雑である。 本研究では,ソースコードの凝集破壊を定量化することにより,スプリアスコードインジェクションの強調のための教師なしアプローチを提案する。 そこで我々は,NPC(name-prediction-based cohesion)測定値を用いて,悪質なコードの導入に伴う関数の凝集の変化を,自然の凝集変動と比較して分析した。 369のオープンソースC++リポジトリ上の54,707の関数の解析では、コードインジェクションが結合を減らし、本当の関数更新と比較して命名パターンを短く、記述の少ない名前にシフトすることが明らかになった。 実際のサプライチェーン攻撃の散発性を考慮して,提案手法を極端にテストセットの不均衡で評価し,NPCを用いた高粘度関数のモニタリングにより,1:1,000の精度で36.41%,1:10,000の精度で12.47%の精度を達成できることを示す。 これらの結果は、一般に、自動結束測定と、特に名前予測に基づく結束測定がサプライチェーン攻撃の特定に役立ち、ソースコードの整合性を向上させることを示唆している。

関連論文リスト

• VulAgent: Hypothesis-Validation based Multi-Agent Vulnerability Detection [55.957275374847484]
  VulAgentは仮説検証に基づくマルチエージェント脆弱性検出フレームワークである。 セマンティクスに敏感なマルチビュー検出パイプラインを実装しており、それぞれが特定の分析の観点から一致している。 平均して、VulAgentは全体的な精度を6.6%改善し、脆弱性のある固定されたコードペアの正確な識別率を最大450%向上させ、偽陽性率を約36%削減する。
  論文  参考訳（メタデータ） (2025-09-15T02:25:38Z)
• VulCoCo: A Simple Yet Effective Method for Detecting Vulnerable Code Clones [11.650715913321076]
  VulCoCoは、脆弱なコードクローンを検出する軽量でスケーラブルなアプローチである。 まず、様々なクローンタイプにまたがる合成ベンチマークを構築します。 我々の実験によると、VulCoCoは精度@kと平均精度(MAP)で最先端の手法よりも優れている。
  論文  参考訳（メタデータ） (2025-07-22T14:54:57Z)
• MalCodeAI: Autonomous Vulnerability Detection and Remediation via Language Agnostic Code Reasoning [0.0]
  MalCodeAIは、自律的なコードセキュリティ分析と修復のための言語に依存しないパイプラインである。 コード分解と意味推論をQwen2.5-Coder-3B-Instructモデルで組み合わせる。 MalCodeAIは、レッドハットスタイルのエクスプロイトトレース、CVSSベースのリスクスコアリング、ゼロショットの一般化をサポートし、複雑なゼロデイ脆弱性を検出する。
  論文  参考訳（メタデータ） (2025-07-15T01:25:04Z)
• Decompiling Smart Contracts with a Large Language Model [51.49197239479266]
  Etherscanの78,047,845のスマートコントラクトがデプロイされているにも関わらず(2025年5月26日現在)、わずか767,520 (1%)がオープンソースである。 この不透明さは、オンチェーンスマートコントラクトバイトコードの自動意味解析を必要とする。 バイトコードを可読でセマンティックに忠実なSolidityコードに変換する,先駆的な逆コンパイルパイプラインを導入する。
  論文  参考訳（メタデータ） (2025-06-24T13:42:59Z)
• Beyond Natural Language Perplexity: Detecting Dead Code Poisoning in Code Generation Datasets [8.977790462534152]
  本稿では,コードの構造に合わせた新しいラインレベルの検出とクリーン化手法であるDePAを提案する。 DePAは既存の方法よりも優れており、検出F1スコアが0.14-0.19向上し、有毒セグメントの局在精度が44-65%向上した。
  論文  参考訳（メタデータ） (2025-02-27T16:30:00Z)
• RedCode: Risky Code Execution and Generation Benchmark for Code Agents [50.81206098588923]
  RedCodeはリスクの高いコード実行と生成のためのベンチマークである。 RedCode-Execは、危険なコード実行につながる可能性のある、挑戦的なプロンプトを提供する。 RedCode-Genは160のプロンプトに関数シグネチャとドキュメントを入力として提供し、コードエージェントが命令に従うかどうかを評価する。
  論文  参考訳（メタデータ） (2024-11-12T13:30:06Z)
• ShadowCode: Towards (Automatic) External Prompt Injection Attack against Code LLMs [56.46702494338318]
  本稿では,コード指向の大規模言語モデルに対する(自動)外部プロンプトインジェクションという,新たな攻撃パラダイムを紹介する。 コードシミュレーションに基づいて誘導摂動を自動生成する,シンプルで効果的な方法であるShadowCodeを提案する。 3つの人気のあるプログラミング言語にまたがる31の脅威ケースを発生させるため、13の異なる悪意のある目標に対して本手法を評価した。
  論文  参考訳（メタデータ） (2024-07-12T10:59:32Z)
• DeVAIC: A Tool for Security Assessment of AI-generated Code [5.383910843560784]
  DeVAIC (Detection of Vulnerabilities in AI Generated Code)は、AI生成のPythonコードのセキュリティを評価するツールである。
  論文  参考訳（メタデータ） (2024-04-11T08:27:23Z)
• FoC: Figure out the Cryptographic Functions in Stripped Binaries with LLMs [51.898805184427545]
  削除されたバイナリの暗号関数を抽出するFoCと呼ばれる新しいフレームワークを提案する。 まず、自然言語における暗号関数のセマンティクスを要約するために、バイナリ大言語モデル(FoC-BinLLM)を構築した。 次に、FoC-BinLLM上にバイナリコード類似モデル(FoC-Sim)を構築し、変更に敏感な表現を作成し、データベース内の未知の暗号関数の類似実装を検索する。
  論文  参考訳（メタデータ） (2024-03-27T09:45:33Z)
• Zero-Shot Detection of Machine-Generated Codes [83.0342513054389]
  本研究は,LLMの生成したコードを検出するためのトレーニング不要な手法を提案する。 既存のトレーニングベースまたはゼロショットテキスト検出装置は、コード検出に効果がないことがわかった。 本手法は,リビジョン攻撃に対する堅牢性を示し,Javaコードによく適応する。
  論文  参考訳（メタデータ） (2023-10-08T10:08:21Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。