論文の概要: Can Developers rely on LLMs for Secure IaC Development?

• arxiv url: http://arxiv.org/abs/2602.03648v1
• Date: Tue, 03 Feb 2026 15:32:36 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-02-04 18:37:15.544276
• Title: Can Developers rely on LLMs for Secure IaC Development?
• Title（参考訳）: 開発者はセキュアIaC開発にLLMを頼れるか?
• Authors: Ehsan Firouzi, Shardul Bhatt, Mohammad Ghafari,
• Abstract要約: GPT-4o と Gemini 2.0 Flash for secure Infrastructure as Code (IaC) の開発について検討した。 セキュリティの臭いを検出するために、セキュリティの観点からコードを分析するよう促されたとき、少なくとも71%のセキュリティの臭いが検出された。 セキュアなコード生成のために、89の脆弱な合成シナリオを持つLLMを起動し、生成したスクリプトのわずか7%がセキュアであることを確認した。
• 参考スコア（独自算出の注目度）: 2.2940141855172036
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: We investigated the capabilities of GPT-4o and Gemini 2.0 Flash for secure Infrastructure as Code (IaC) development. For security smell detection, on the Stack Overflow dataset, which primarily contains small, simplified code snippets, the models detected at least 71% of security smells when prompted to analyze code from a security perspective (general prompt). With a guided prompt (adding clear, step-by-step instructions), this increased to 78%.In GitHub repositories, which contain complete, real-world project scripts, a general prompt was less effective, leaving more than half of the smells undetected. However, with the guided prompt, the models uncovered at least 67% of the smells. For secure code generation, we prompted LLMs with 89 vulnerable synthetic scenarios and observed that only 7% of the generated scripts were secure. Adding an explicit instruction to generate secure code increased GPT secure output rate to 17%, while Gemini changed little (8%). These results highlight the need for further research to improve LLMs' capabilities in assisting developers with secure IaC development.
• Abstract（参考訳）: 我々は,セキュアインフラストラクチャ・アズ・コード(IaC)開発におけるGPT-4oとGemini 2.0 Flashの機能について検討した。 セキュリティの臭いを検出するために、Stack Overflowデータセットは、主に小さくて単純化されたコードスニペットを含む。 ガイド付きプロンプト(クリアでステップバイステップの指示を追加する)により、これは78%に増加した。 完全な実世界のプロジェクトスクリプトを含むGitHubリポジトリでは、一般的なプロンプトは効果が低く、検出されていない臭いが半数以上残っている。 しかし、ガイドされたプロンプトにより、少なくとも67%の匂いが見つかった。 セキュアなコード生成のために、89の脆弱な合成シナリオを持つLLMを起動し、生成したスクリプトのわずか7%がセキュアであることを確認した。 セキュアなコードを生成するための明示的な命令を追加することで、GPTセキュアな出力レートは17%に向上した。 これらの結果は、セキュアなIaC開発を支援するLLMの能力を改善するためのさらなる研究の必要性を浮き彫りにしている。

関連論文リスト

• Trace: Securing Smart Contract Repository Against Access Control Vulnerability [58.02691083789239]
  GitHubはソースコード、ドキュメント、設定ファイルを含む多数のスマートコントラクトリポジトリをホストしている。 サードパーティの開発者は、カスタム開発中にこれらのリポジトリからコードを参照、再利用、フォークすることが多い。 スマートコントラクトの脆弱性を検出する既存のツールは、複雑なリポジトリを扱う能力に制限されている。
  論文  参考訳（メタデータ） (2025-10-22T05:18:28Z)
• Prompt, Synthesize, Fine-Tune: A Secure Code Generation Recipe [16.177098761970683]
  高品質で脆弱でセキュアなコード例を自動的に合成するフレームワークであるSecure-Instructを紹介します。 Secure-Instructは、セキュリティだけでなく、生成されたコードの機能的正確性も改善します。
  論文  参考訳（メタデータ） (2025-10-08T16:24:09Z)
• SafeAgentBench: A Benchmark for Safe Task Planning of Embodied LLM Agents [58.65256663334316]
  我々は,対話型シミュレーション環境におけるLLMエージェントの安全性を考慮したタスク計画のための最初のベンチマークであるSafeAgentBenchを紹介する。 SafeAgentBenchは、(1)10の潜在的な危険と3つのタスクタイプをカバーするために厳格にキュレートされた750のタスクの実行可能な多種多様な高品質データセット、(2)低レベルコントローラを備えた普遍的な実施環境、9つの最先端ベースラインに対して17のハイレベルアクションでマルチエージェント実行をサポートするSafeAgentEnv、(3)実行とセマンティックの両方の観点から信頼性の高い評価方法を含む。
  論文  参考訳（メタデータ） (2024-12-17T18:55:58Z)
• RedCode: Risky Code Execution and Generation Benchmark for Code Agents [50.81206098588923]
  RedCodeはリスクの高いコード実行と生成のためのベンチマークである。 RedCode-Execは、危険なコード実行につながる可能性のある、挑戦的なプロンプトを提供する。 RedCode-Genは160のプロンプトに関数シグネチャとドキュメントを入力として提供し、コードエージェントが命令に従うかどうかを評価する。
  論文  参考訳（メタデータ） (2024-11-12T13:30:06Z)
• HexaCoder: Secure Code Generation via Oracle-Guided Synthetic Training Data [60.75578581719921]
  大規模言語モデル(LLM)は、自動コード生成に大きな可能性を示している。 最近の研究は、多くのLLM生成コードが深刻なセキュリティ脆弱性を含んでいることを強調している。 我々は,LLMがセキュアなコードを生成する能力を高めるための新しいアプローチであるHexaCoderを紹介する。
  論文  参考訳（メタデータ） (2024-09-10T12:01:43Z)
• How Well Do Large Language Models Serve as End-to-End Secure Code Agents for Python? [42.119319820752324]
  GPT-3.5 と GPT-4 の 4 つの LLM で生成されたコードの脆弱性を識別し,修復する能力について検討した。 4900のコードを手動または自動でレビューすることで、大きな言語モデルにはシナリオ関連セキュリティリスクの認識が欠けていることが判明した。 修復の1ラウンドの制限に対処するため,LLMにより安全なソースコード構築を促す軽量ツールを開発した。
  論文  参考訳（メタデータ） (2024-08-20T02:42:29Z)
• An Exploratory Study on Fine-Tuning Large Language Models for Secure Code Generation [16.000227726163967]
  脆弱性修正コミットのデータセット上で学習済みの大規模言語モデルがセキュアなコード生成を促進するかどうかを検討する。 オープンソースのリポジトリから、確認済みの脆弱性のコード修正を収集することで、セキュアなコード生成のための微調整データセット(14,622 C/C++ファイル)をクロールします。 C言語のセキュリティの最大改善は6.4%、C++言語の5.0%です。
  論文  参考訳（メタデータ） (2024-08-17T02:51:27Z)
• CodeAttack: Revealing Safety Generalization Challenges of Large Language Models via Code Completion [117.178835165855]
  本稿では,自然言語入力をコード入力に変換するフレームワークであるCodeAttackを紹介する。 我々の研究は、コード入力に対するこれらのモデルの新たな、普遍的な安全性の脆弱性を明らかにした。 CodeAttackと自然言語の分布ギャップが大きくなると、安全性の一般化が弱くなる。
  論文  参考訳（メタデータ） (2024-03-12T17:55:38Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。