論文の概要: Enhancing Code Review through Fuzzing and Likely Invariants

• arxiv url: http://arxiv.org/abs/2510.15512v1
• Date: Fri, 17 Oct 2025 10:30:22 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-10-20 20:17:34.577855
• Title: Enhancing Code Review through Fuzzing and Likely Invariants
• Title（参考訳）: ファジィと同じような不変性によるコードレビューの強化
• Authors: Wachiraphan Charoenwet, Patanamon Thongtanunam, Van-Thuan Pham, Christoph Treude,
• Abstract要約: FuzzSightは、非クラッシングファジィ入力の潜在的な不変量を利用して、プログラムバージョン間での振る舞いの違いを強調するフレームワークである。 評価では、FuzzSightがレグレッションバグの75%、最大80%の脆弱性を24時間のファズリングによって発見しました。
• 参考スコア（独自算出の注目度）: 13.727241655311664
• License: http://creativecommons.org/licenses/by-nc-nd/4.0/
• Abstract: Many software projects employ manual code review to gatekeep defects and vulnerabilities in the code before integration. However, reviewers often work under time pressure and rely primarily on static inspection, leaving the dynamic aspects of the program unexplored. Dynamic analyses could reveal such behaviors, but they are rarely integrated into reviews. Among them, fuzzing is typically applied later to uncover crashing bugs. Yet its ability to exercise code with diverse inputs makes it promising for exposing non-crashing, but unexpected, behaviors earlier. Still, without suitable mechanisms to analyze program behaviors, the rich data produced during fuzzing remains inaccessible to reviewers, limiting its practical value in this context. We hypothesize that unexpected variations in program behaviors could signify potential bugs. The impact of code changes can be automatically captured at runtime. Representing program behavior as likely invariants, dynamic properties consistently observed at specific program points, can provide practical signals of behavioral changes. Such signals offer a way to distinguish between intended changes and unexpected behavioral shifts from code changes. We present FuzzSight, a framework that leverages likely invariants from non-crashing fuzzing inputs to highlight behavioral differences across program versions. By surfacing such differences, it provides insights into which code blocks may need closer attention. In our evaluation, FuzzSight flagged 75% of regression bugs and up to 80% of vulnerabilities uncovered by 24-hour fuzzing. It also outperformed SAST in identifying buggy code blocks, achieving ten times higher detection rates with fewer false alarms. In summary, FuzzSight demonstrates the potential and value of leveraging fuzzing and invariant analysis for early-stage code review, bridging static inspection with dynamic behavioral insights.
• Abstract（参考訳）: 多くのソフトウェアプロジェクトは、手動のコードレビューを使用して、統合前にコードの欠陥や脆弱性をゲートキープする。 しかしながら、レビュアーはしばしば時間的プレッシャーの下で働き、主に静的検査に依存し、プログラムの動的な側面は未調査のままである。 動的解析はそのような振る舞いを明らかにする可能性があるが、レビューに統合されることは滅多にない。 その中でもファジングは、クラッシュするバグを明らかにするために後から適用されるのが一般的である。 しかし、多様な入力でコードを実行する能力は、非クラッシングだが予想外の振る舞いを公開することを約束している。 それでも、プログラムの振る舞いを分析するための適切なメカニズムがなければ、ファジイング時に生成された豊富なデータはレビュアーにはアクセスできないままであり、この文脈における実用的価値を制限している。 プログラム動作の予期せぬ変動は潜在的なバグを示す可能性があるという仮説を立てる。 コード変更の影響は、実行時に自動的にキャプチャされる。 プログラムの振る舞いをおそらく不変として表現し、特定のプログラムポイントで一貫して観察される動的な特性は、行動変化の実用的なシグナルを与える。 このようなシグナルは、意図した変更と、コードの変更から予期しない振る舞いシフトを区別する方法を提供する。 FuzzSightは、非クラッシングファジィ入力の潜在的な不変量を利用して、プログラムバージョン間での振る舞いの違いを強調するフレームワークである。 このような違いを克服することで、どのコードブロックにもっと注意が必要なのかという洞察を提供する。 評価では、FuzzSightがレグレッションバグの75%、最大80%の脆弱性を24時間のファズリングによって発見しました。 また、バグの多いコードブロックの特定においてSASTよりも優れており、誤報が少なくて10倍高い検出率を実現している。 まとめると、FuzzSightはファジィングと不変解析をアーリーステージのコードレビューに活用する可能性と価値を示し、動的な振る舞いの洞察で静的インスペクションをブリッジする。

関連論文リスト

• Probing Pre-trained Language Models on Code Changes: Insights from ReDef, a High-Confidence Just-in-Time Defect Prediction Dataset [0.0]
  本稿では,22の大規模C/C++プロジェクトから得られた関数レベル修正の信頼性の高いベンチマークであるReDefを紹介する。 欠陥ケースはコミットの反転によって固定され、クリーンケースはポストホック履歴チェックによって検証される。 このパイプラインは3,164の欠陥と10,268のクリーンな修正をもたらし、既存のリソースよりも信頼性の高いラベルを提供する。
  論文  参考訳（メタデータ） (2025-09-11T07:07:11Z)
• A Comparative Study of Fuzzers and Static Analysis Tools for Finding Memory Unsafety in C and C++ [24.60320701097142]
  C/C++プログラムにおける100以上の既知のセキュリティ脆弱性に適用した5つの静的アナライザと13個のファザの実証分析を行った。 どちらのテクニックもさまざまなタイプのバグを発見していますが、それぞれに明確な勝者があります。
  論文  参考訳（メタデータ） (2025-05-28T07:22:29Z)
• Pipe-Cleaner: Flexible Fuzzing Using Security Policies [0.07499722271664144]
  Pipe-CleanerはCコードの脆弱性を検出し解析するシステムである。 これは、タグベースのランタイムリファレンスモニターによって強制されるフレキシブルな開発者設計のセキュリティポリシーに基づいている。 いくつかのヒープ関連のセキュリティ脆弱性に対して、このアプローチの可能性を実証する。
  論文  参考訳（メタデータ） (2024-10-31T23:35:22Z)
• Understanding Code Understandability Improvements in Code Reviews [79.16476505761582]
  GitHub上のJavaオープンソースプロジェクトからの2,401のコードレビューコメントを分析した。 改善提案の83.9%が承認され、統合され、1%未満が後に復活した。
  論文  参考訳（メタデータ） (2024-10-29T12:21:23Z)
• FuzzCoder: Byte-level Fuzzing Test via Large Language Model [46.18191648883695]
  我々は,攻撃を成功させることで,入力ファイルのパターンを学習するために,微調整された大言語モデル(FuzzCoder)を採用することを提案する。 FuzzCoderは、プログラムの異常な動作を引き起こすために、入力ファイル内の突然変異位置と戦略位置を予測することができる。
  論文  参考訳（メタデータ） (2024-09-03T14:40:31Z)
• SoK: Prudent Evaluation Practices for Fuzzing [21.113311952857778]
  我々は2018年から2023年にかけて発行された150枚のファジィ紙の評価を体系的に分析した。 既存のガイドラインがどのように実装され、潜在的な欠点や落とし穴を観察するかを検討する。 例えば、報告されたバグの調査では、統計的検査やファジィ評価の体系的誤りに関する既存のガイドラインを驚くほど軽視している。
  論文  参考訳（メタデータ） (2024-05-16T16:10:41Z)
• Code Revert Prediction with Graph Neural Networks: A Case Study at J.P. Morgan Chase [10.961209762486684]
  コードリバース予測は、コード変更がソフトウェア開発で逆転またはロールバックされる可能性を予測または予測することを目的としている。 コード欠陥検出の以前の方法は、独立した機能に依存していたが、コードスクリプト間の関係を無視していた。 本稿では,コードインポートグラフとコード特徴を統合した,コード逆転予測のための系統的研究について述べる。
  論文  参考訳（メタデータ） (2024-03-14T15:54:29Z)
• Tracking the risk of a deployed model and detecting harmful distribution shifts [105.27463615756733]
  実際には、デプロイされたモデルのパフォーマンスが大幅に低下しないという、良心的なシフトを無視することは理にかなっている。 我々は,警告を発射する有効な方法は,(a)良性な警告を無視しながら有害なシフトを検知し,(b)誤報率を増大させることなく,モデル性能の連続的なモニタリングを可能にすることを論じる。
  論文  参考訳（メタデータ） (2021-10-12T17:21:41Z)
• Detecting Rewards Deterioration in Episodic Reinforcement Learning [63.49923393311052]
  多くのRLアプリケーションでは、トレーニングが終了すると、エージェント性能の劣化をできるだけ早く検出することが不可欠である。 我々は,各エピソードにおける報酬が独立でもなく,同一に分散した,マルコフでもない,エピソード的枠組みを考察する。 平均シフトは、時間信号の劣化(報酬など)に対応する方法で定義し、最適な統計的パワーでこの問題の試行を導出する。
  論文  参考訳（メタデータ） (2020-10-22T12:45:55Z)
• Deep Just-In-Time Inconsistency Detection Between Comments and Source Code [51.00904399653609]
  本稿では,コード本体の変更によりコメントが矛盾するかどうかを検出することを目的とする。 私たちは、コメントとコードの変更を関連付けるディープラーニングアプローチを開発しています。 より包括的な自動コメント更新システムを構築するために,コメント更新モデルと組み合わせて提案手法の有用性を示す。
  論文  参考訳（メタデータ） (2020-10-04T16:49:28Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。