論文の概要: YASA: Scalable Multi-Language Taint Analysis on the Unified AST at Ant Group

• arxiv url: http://arxiv.org/abs/2601.17390v1
• Date: Sat, 24 Jan 2026 09:23:55 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-01-27 15:23:07.708173
• Title: YASA: Scalable Multi-Language Taint Analysis on the Unified AST at Ant Group
• Title（参考訳）: YASA: Ant Groupにおける統一ASTに関するスケーラブルなマルチ言語タレント解析
• Authors: Yayi Wang, Shenao Wang, Jian Zhao, Shaosen Shi, Ting Li, Yan Cheng, Lizhong Bian, Kan Yu, Yanjie Zhao, Haoyu Wang,
• Abstract要約: YASA (Yet Another Static Analyzer) は、産業規模の展開のために設計された、多言語で静的なテント解析フレームワークである。 YASAは、言語に依存しない構造を管理するために統一的なセマンティックモデルを活用する。 Ant Group内の実世界のデプロイにおいて、YASAは7.3Kの内部アプリケーションにまたがる1億行のコードを分析した。
• 参考スコア（独自算出の注目度）: 15.075471835649077
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Modern enterprises increasingly adopt diverse technology stacks with various programming languages, posing significant challenges for static application security testing (SAST). Existing taint analysis tools are predominantly designed for single languages, requiring substantial engineering effort that scales with language diversity. While multi-language tools like CodeQL, Joern, and WALA attempt to address these challenges, they face limitations in intermediate representation design, analysis precision, and extensibility, which make them difficult to scale effectively for large-scale industrial applications at Ant Group. To bridge this gap, we present YASA (Yet Another Static Analyzer), a unified multi-language static taint analysis framework designed for industrial-scale deployment. Specifically, YASA introduces the Unified Abstract Syntax Tree (UAST) that provides a unified abstraction for compatibility across diverse programming languages. Building on the UAST, YASA performs point-to analysis and taint propagation, leveraging a unified semantic model to manage language-agnostic constructs, while incorporating language-specific semantic models to handle other unique language features. When compared to 6 single- and 2 multi-language static analyzers on an industry-standard benchmark, YASA consistently outperformed all baselines across Java, JavaScript, Python, and Go. In real-world deployment within Ant Group, YASA analyzed over 100 million lines of code across 7.3K internal applications. It identified 314 previously unknown taint paths, with 92 of them confirmed as 0-day vulnerabilities. All vulnerabilities were responsibly reported, with 76 already patched by internal development teams, demonstrating YASA's practical effectiveness for securing large-scale industrial software systems.
• Abstract（参考訳）: 現代の企業は、様々なプログラミング言語で多様な技術スタックを採用する傾向にあり、静的アプリケーションセキュリティテスト(SAST)において大きな課題となっている。 既存のテナント分析ツールは、主に単一言語用に設計されており、言語の多様性に合わせてスケールする相当なエンジニアリング努力を必要とする。 CodeQL、Joern、WALAといった多言語ツールはこれらの課題に対処しようとしているが、中間表現設計、分析精度、拡張性の制限に直面しているため、Ant Groupの大規模産業アプリケーションでは、効果的にスケールすることが難しい。 このギャップを埋めるために,産業規模の展開用に設計された多言語静的なテント解析フレームワークYASA(Yet Another Static Analyzer)を提案する。 特に、YASAはUnified Abstract Syntax Tree (UAST)を導入している。 UAST上に構築されたYASAは、言語に依存しない構造を管理するために統一的なセマンティックモデルを活用するとともに、言語固有のセマンティックモデルを取り入れて、他のユニークな言語機能を扱う。 業界標準ベンチマークの6つのシングル言語と2つの静的アナライザと比較して、YASAはJava、JavaScript、Python、Goのすべてのベースラインを一貫して上回った。 Ant Group内の実世界のデプロイにおいて、YASAは7.3Kの内部アプリケーションにまたがる1億行のコードを分析した。 以前は知られていなかった314個のテナントパスを特定し、92個のテナントが0日間の脆弱性として確認された。 すべての脆弱性は責任を持って報告され、76は内部開発チームによってすでにパッチが適用されており、YASAが大規模産業用ソフトウェアシステムを確保するための実践的有効性を示している。

関連論文リスト

• A Benchmark for Language Models in Real-World System Building [56.549267258789904]
  クロスISAソフトウェアパッケージの修復は、ソフトウェアデプロイメントの信頼性と現代のオペレーティングシステムの安定性を保証するための重要なタスクである。 多様なアーキテクチャや言語にまたがるソフトウェアパッケージのビルド修復のために設計された新しいベンチマークを導入する。 ベンチマークで6つの最先端LCMを評価し,その結果,ISA間のソフトウェアパッケージの修復は困難であり,さらなる進歩が必要であることが示された。
  論文  参考訳（メタデータ） (2026-01-19T10:30:46Z)
• SWE-Compass: Towards Unified Evaluation of Agentic Coding Abilities for Large Language Models [59.90381306452982]
  ソフトウェアエンジニアリングのための大規模言語モデル(LLM)の評価は、タスクカバレッジの狭さ、言語バイアス、現実世界の開発者との整合性の不足によって制限されている。 SWE-1は、不均一なコード関連評価を構造化および生産整合性のあるフレームワークに統合する包括的なベンチマークである。 SWE-は8つのタスクタイプ、8つのプログラミングシナリオ、10のプログラミング言語にまたがる。
  論文  参考訳（メタデータ） (2025-11-07T18:01:32Z)
• Guaranteed Guess: A Language Modeling Approach for CISC-to-RISC Transpilation with Testing Guarantees [0.03994567502796063]
  GG(Guaranteed Guess)は、事前学習された大規模言語モデルの翻訳能力と、確立されたソフトウェアテスト構造の厳密さを組み合わせた、ISA中心のトランスパイレーションパイプラインである。 提案手法は,あるISAから別のISAへのLSMを用いた候補翻訳を生成し,ソフトウェアテストフレームワークにそのような翻訳を組み込んで,翻訳の量的信頼性を構築する。 我々は、2つの多様なデータセットに対するGGアプローチを評価し、ユニットテストに高いコードカバレッジ(>98%)を強制し、HumanEvalプログラムで99%、BringupBenchプログラムで49%の関数的/意味的正当性を達成した。
  論文  参考訳（メタデータ） (2025-06-17T15:06:54Z)
• MAPS: A Multilingual Benchmark for Global Agent Performance and Security [8.275240552134338]
  多様な言語やタスクにまたがるエージェントAIシステムを評価するためのベンチマークスイートであるMAPSを提案する。 それぞれのデータセットを11の多様な言語に変換し、805のユニークなタスクと9,660の言語固有のインスタンスを生成します。 我々は、英語から他の言語に移行する際に、パフォーマンスとセキュリティの両方の劣化を観察する。
  論文  参考訳（メタデータ） (2025-05-21T18:42:00Z)
• Not All Languages Are Created Equal in LLMs: Improving Multilingual Capability by Cross-Lingual-Thought Prompting [123.16452714740106]
  大規模言語モデル(LLM)は印象的な多言語機能を示すが、その性能は言語によって大きく異なる。 XLT (cross-lingual- Thought prompting) という,シンプルで効果的な方法を提案する。 XLTは汎用テンプレートプロンプトで、言語間および論理的推論スキルを刺激し、言語間のタスクパフォーマンスを向上させる。
  論文  参考訳（メタデータ） (2023-05-11T17:44:17Z)
• Zero-Shot Cross-lingual Semantic Parsing [56.95036511882921]
  7つのテスト言語に対する並列データを持たないゼロショット問題として,言語間セマンティックパーシングについて検討した。 英文論理形式ペアデータのみを用いて解析知識を付加言語に転送するマルチタスクエンコーダデコーダモデルを提案する。 このシステムは、ゼロショット解析を潜時空間アライメント問題としてフレーム化し、事前訓練されたモデルを改善し、最小のクロスリンガル転送ペナルティで論理形式を生成することができる。
  論文  参考訳（メタデータ） (2021-04-15T16:08:43Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。