論文の概要: SAGA: Detecting Security Vulnerabilities Using Static Aspect Analysis

• arxiv url: http://arxiv.org/abs/2601.15154v1
• Date: Wed, 21 Jan 2026 16:26:26 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-01-22 21:27:50.45475
• Title: SAGA: Detecting Security Vulnerabilities Using Static Aspect Analysis
• Title（参考訳）: SAGA:静的アスペクト分析によるセキュリティ脆弱性の検出
• Authors: Yoann Marquer, Domenico Bianculli, Lionel C. Briand,
• Abstract要約: SAGAは、Pythonソースコードの脆弱性を多目的に検出し、発見するアプローチである。 私たちは、SAGAを108の脆弱性のデータセットで評価し、100%の感度と99.15%の特異性を得ました。
• 参考スコア（独自算出の注目度）: 5.971445533193919
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Python is one of the most popular programming languages; as such, projects written in Python involve an increasing number of diverse security vulnerabilities. However, existing state-of-the-art analysis tools for Python only support a few vulnerability types. Hence, there is a need to detect a large variety of vulnerabilities in Python projects. In this paper, we propose the SAGA approach to detect and locate vulnerabilities in Python source code in a versatile way. SAGA includes a source code parser able to extract control- and data-flow information and to represent it as a symbolic control-flow graph, as well as a domain-specific language defining static aspects of the source code and their evolution during graph traversals. We have leveraged this language to define a library of static aspects for integrity, confidentiality, and other security-related properties. We have evaluated SAGA on a dataset of 108 vulnerabilities, obtaining 100% sensitivity and 99.15% specificity, with only one false positive, while outperforming four common security analysis tools. This analysis was performed in less than 31 seconds, i.e., between 2.5 and 512.1 times faster than the baseline tools.
• Abstract（参考訳）: Pythonは最も人気のあるプログラミング言語の1つであり、Pythonで書かれたプロジェクトには様々なセキュリティ脆弱性が増えている。 しかし、Pythonの既存の最先端分析ツールは、いくつかの脆弱性タイプしかサポートしていない。 そのため、Pythonプロジェクトでは、さまざまな脆弱性を検出する必要がある。 本稿では,Pythonのソースコードの脆弱性を多目的に検出し,発見するためのSAGA手法を提案する。 SAGAには、制御情報とデータフロー情報を抽出し、それを象徴的な制御フローグラフとして表現することのできるソースコードパーサと、ソースコードの静的な側面とグラフトラバーサル間の進化を定義するドメイン固有言語が含まれている。 私たちはこの言語を利用して、整合性、機密性、その他のセキュリティ関連プロパティのための静的なアスペクトのライブラリを定義しました。 私たちは、SAGAを108の脆弱性のデータセットで評価し、100%の感度と99.15%の特異性を得ました。 この分析は31秒未満で実行され、つまりベースラインツールの2.5倍から512.1倍の速さで実行された。

関連論文リスト

• Multi-Agent Taint Specification Extraction for Vulnerability Detection [49.27772068704498]
  コンテナ分析を使用した静的アプリケーションセキュリティテスト(SAST)ツールは、高品質な脆弱性検出結果を提供するものとして広く見なされている。 本稿では,Large Language Models (LLM) のセマンティック理解と従来の静的プログラム解析を戦略的に組み合わせたマルチエージェントシステムであるSemTaintを提案する。 私たちは、SemTaintを最先端のSASTツールであるCodeQLと統合し、これまでCodeQLで検出できなかった162の脆弱性の106を検出して、その効果を実証しています。
  論文  参考訳（メタデータ） (2026-01-15T21:31:51Z)
• What Do They Fix? LLM-Aided Categorization of Security Patches for Critical Memory Bugs [46.325755802511026]
  我々は、LLM(Large Language Model)と細調整された小言語モデルに基づく2つのアプローチを統合するデュアルメタルパイプラインであるLMを開発した。 LMは、OOBまたはUAFの脆弱性に対処する最近のLinuxカーネルのパッチ5,140のうち111つを、手作業による検証によって90の正の正が確認された。
  論文  参考訳（メタデータ） (2025-09-26T18:06:36Z)
• An Empirical Study of Vulnerabilities in Python Packages and Their Detection [12.629138654621983]
  この記事では、Pythonパッケージの脆弱性の包括的なベンチマークスイートであるPyVulを紹介する。 PyVulには、公表された1,157の開発者認証脆弱性が含まれており、それぞれが影響を受けるパッケージにリンクされている。 ラベル精度を向上し、100%コミットレベルと94%関数レベルの精度を達成するために、LCM支援データクリーニング手法が組み込まれている。
  論文  参考訳（メタデータ） (2025-09-04T14:38:28Z)
• Decompiling Smart Contracts with a Large Language Model [51.49197239479266]
  Etherscanの78,047,845のスマートコントラクトがデプロイされているにも関わらず(2025年5月26日現在)、わずか767,520 (1%)がオープンソースである。 この不透明さは、オンチェーンスマートコントラクトバイトコードの自動意味解析を必要とする。 バイトコードを可読でセマンティックに忠実なSolidityコードに変換する,先駆的な逆コンパイルパイプラインを導入する。
  論文  参考訳（メタデータ） (2025-06-24T13:42:59Z)
• An Empirical Study of Vulnerability Handling Times in CPython [0.2538209532048867]
  本稿では,CPythonにおけるソフトウェア脆弱性の処理時間について検討する。 この論文は、Pythonエコシステムのセキュリティをよりよく理解するための最近の取り組みに貢献している。
  論文  参考訳（メタデータ） (2024-11-01T08:46:14Z)
• Machine Learning Techniques for Python Source Code Vulnerability Detection [0.0]
  ソースコードの脆弱性検出に異なる機械学習アルゴリズムを適用して比較する。 我々の双方向長短期記憶モデル(BiLSTM)は、顕著な性能を達成する。
  論文  参考訳（メタデータ） (2024-04-15T08:01:02Z)
• Exploring Security Commits in Python [11.533638656389137]
  Pythonのほとんどのセキュリティ問題は、CVEによってインデックス化されておらず、'silent'セキュリティコミットによってのみ修正される可能性がある。 限られたデータバリエーション、非包括的コードセマンティクス、解釈不能な学習機能のために、隠れたセキュリティコミットを特定することが重要だ。 Pythonの最初のセキュリティコミットデータセットであるPySecDBを構築し、ベースデータセット、パイロットデータセット、拡張データセットを含む3つのサブセットで構成される。
  論文  参考訳（メタデータ） (2023-07-21T18:46:45Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)
• Software Vulnerability Detection via Deep Learning over Disaggregated Code Graph Representation [57.92972327649165]
  この研究は、コードコーパスから安全でないパターンを自動的に学習するためのディープラーニングアプローチを探求する。 コードには解析を伴うグラフ構造が自然に認められるため,プログラムの意味的文脈と構造的規則性の両方を利用する新しいグラフニューラルネットワーク(GNN)を開発する。
  論文  参考訳（メタデータ） (2021-09-07T21:24:36Z)
• D2A: A Dataset Built for AI-Based Vulnerability Detection Methods Using Differential Analysis [55.15995704119158]
  静的解析ツールによって報告されたラベル問題に対する差分解析に基づくアプローチであるD2Aを提案する。 D2Aを使用して大きなラベル付きデータセットを生成し、脆弱性識別のためのモデルをトレーニングします。
  論文  参考訳（メタデータ） (2021-02-16T07:46:53Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。