論文の概要: FP-Predictor - False Positive Prediction for Static Analysis Reports

• arxiv url: http://arxiv.org/abs/2603.10558v1
• Date: Wed, 11 Mar 2026 09:05:39 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-03-12 16:22:32.863606
• Title: FP-Predictor - False Positive Prediction for Static Analysis Reports
• Title（参考訳）: FP予測器-静的解析レポートの偽陽性予測
• Authors: Tom Ohlmer, Michael Schlichtig, Eric Bodden,
• Abstract要約: この研究は、静的アプリケーションセキュリティテスト(SAST)レポートを真で偽陽性と予測するために設計されたグラフ畳み込みネットワーク(GCN)モデルを示す。 このモデルは静的解析結果から構築されたコードプロパティグラフ(CPG)を利用して、コード内の構造的および意味的な関係をキャプチャする。 CryptoAPI-Benchベンチマークの評価では、このモデルの実用性を示し、全体の精度は96.6%に達した。
• 参考スコア（独自算出の注目度）: 5.4164223824711755
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Static Application Security Testing (SAST) tools play a vital role in modern software development by automatically detecting potential vulnerabilities in source code. However, their effectiveness is often limited by a high rate of false positives, which wastes developer's effort and undermines trust in automated analysis. This work presents a Graph Convolutional Network (GCN) model designed to predict SAST reports as true and false positive. The model leverages Code Property Graphs (CPGs) constructed from static analysis results to capture both, structural and semantic relationships within code. Trained on the CamBenchCAP dataset, the model achieved an accuracy of 100% on the test set using an 80/20 train-test split. Evaluation on the CryptoAPI-Bench benchmark further demonstrated the model's practical applicability, reaching an overall accuracy of up to 96.6%. A detailed qualitative inspection revealed that many cases marked as misclassifications corresponded to genuine security weaknesses, indicating that the model effectively reflects conservative, security-aware reasoning. Identified limitations include incomplete control-flow representation due to missing interprocedural connections. Future work will focus on integrating call graphs, applying graph explainability techniques, and extending training data across multiple SAST tools to improve generalization and interpretability.
• Abstract（参考訳）: 静的アプリケーションセキュリティテスト(SAST)ツールは、ソースコードの潜在的な脆弱性を自動的に検出することによって、現代のソフトウェア開発において重要な役割を果たす。 しかし、その効果はしばしば、開発者の努力を無駄にし、自動分析への信頼を損なう偽陽性の頻度によって制限される。 この研究は、SASTレポートを真かつ偽陽性として予測するために設計されたグラフ畳み込みネットワーク(GCN)モデルを示す。 このモデルは静的解析結果から構築されたコードプロパティグラフ(CPG)を利用して、コード内の構造的および意味的な関係をキャプチャする。 CamBenchCAPデータセットでトレーニングされたこのモデルは、80/20のトレインテストスプリットを使用してテストセット上で100%の精度を達成した。 CryptoAPI-Benchベンチマークの評価により、モデルの実用性をさらに実証し、全体的な精度は96.6%に達した。 詳細な質的検査では、誤分類とマークされた多くのケースが真のセキュリティの弱点に対応しており、このモデルが保守的でセキュリティに配慮した推論を効果的に反映していることが示されている。 特定された制限には、相互接続の欠如による制御フローの不完全な表現が含まれる。 今後の作業は、コールグラフの統合、グラフ説明可能性技術の適用、一般化と解釈性を改善するために複数のSASTツールにまたがるトレーニングデータの拡張に注力する予定である。

関連論文リスト

• From Passive Metric to Active Signal: The Evolving Role of Uncertainty Quantification in Large Language Models [77.04403907729738]
  このサーベイは、受動的診断基準からリアルタイムモデル動作を導くアクティブ制御信号への不確実性の進化をグラフ化する。 3つのフロンティアにまたがるアクティブ制御信号として不確実性がいかに活用されているかを示す。 この調査は、次世代のスケーラブルで信頼性があり、信頼できるAIを構築するためには、新しい不確実性のトレンドを習得することが不可欠である、と論じている。
  論文  参考訳（メタデータ） (2026-01-22T06:21:31Z)
• Evaluating Line-level Localization Ability of Learning-based Code Vulnerability Detection Models [9.543689542888599]
  脆弱性検出のための説明可能性に基づく評価手法を提案する。 提案手法は検出アライメント(DA)として定義され,入力されたソースコード間の一致を定量化する。 このようなモデルの予測は、常に非負の線に偏っていることを示す。
  論文  参考訳（メタデータ） (2025-10-13T09:34:40Z)
• Revisiting Multivariate Time Series Forecasting with Missing Values [65.30332997607141]
  現実の時系列では欠落値が一般的である。 現在のアプローチでは、計算モジュールを使用して、不足した値を補う、計算済みの予測フレームワークが開発されている。 このフレームワークは、致命的な問題を見落としている: 欠落した値に対して基礎的な真理は存在せず、予測精度を劣化させる可能性のあるエラーの影響を受けやすいようにしている。 本稿では,Information Bottleneck原則に基づく新しいフレームワークであるConsistency-Regularized Information Bottleneck(CRIB)を紹介する。
  論文  参考訳（メタデータ） (2025-09-27T20:57:48Z)
• Code Vulnerability Detection Across Different Programming Languages with AI Models [0.0]
  本稿では,CodeBERTやCodeLlamaのようなトランスフォーマーモデルの実装について述べる。 これは、脆弱で安全なコードフラグメント上でモデルを動的に微調整することで、オフザシェルフモデルがモデル内の予測能力をいかに生み出すかを示している。 実験によると、よく訓練されたCodeBERTは97%以上の精度で既存の静的アナライザに匹敵するか、それ以上に優れている。
  論文  参考訳（メタデータ） (2025-08-14T05:41:58Z)
• The Hitchhiker's Guide to Program Analysis, Part II: Deep Thoughts by LLMs [17.497629884237647]
  BugLensは、バグ検出のための静的解析精度を大幅に向上させる、ポストリファインメントフレームワークである。 LLMは有望なコード理解能力を示すが、プログラム分析への直接の応用は信頼できない。 LLMは、セキュリティへの影響を評価し、ソースコードから制約を検証するため、構造化された推論ステップを通じてLLMをガイドする。
  論文  参考訳（メタデータ） (2025-04-16T02:17:06Z)
• A Generative Framework for Low-Cost Result Validation of Machine Learning-as-a-Service Inference [4.478182379059458]
  FidesはML-as-a-Service(ML)推論のリアルタイム整合性検証のための新しいフレームワークである。 Fidesは、統計的分析とばらつき測定を使用して、サービスモデルが攻撃を受けている場合、高い確率で識別するクライアント側攻撃検出モデルを備えている。 攻撃検出と再分類モデルの訓練のための生成的逆ネットワークフレームワークを考案した。
  論文  参考訳（メタデータ） (2023-03-31T19:17:30Z)
• Leveraging Unlabeled Data to Predict Out-of-Distribution Performance [63.740181251997306]
  実世界の機械学習デプロイメントは、ソース(トレーニング)とターゲット(テスト)ディストリビューションのミスマッチによって特徴づけられる。 本研究では,ラベル付きソースデータとラベルなしターゲットデータのみを用いて,対象領域の精度を予測する手法を検討する。 本稿では,モデルの信頼度をしきい値として学習し,精度をラベルなし例のごく一部として予測する実践的手法である平均閾値保持信頼度(ATC)を提案する。
  論文  参考訳（メタデータ） (2022-01-11T23:01:12Z)
• Software Vulnerability Detection via Deep Learning over Disaggregated Code Graph Representation [57.92972327649165]
  この研究は、コードコーパスから安全でないパターンを自動的に学習するためのディープラーニングアプローチを探求する。 コードには解析を伴うグラフ構造が自然に認められるため,プログラムの意味的文脈と構造的規則性の両方を利用する新しいグラフニューラルネットワーク(GNN)を開発する。
  論文  参考訳（メタデータ） (2021-09-07T21:24:36Z)
• Trust but Verify: Assigning Prediction Credibility by Counterfactual Constrained Learning [123.3472310767721]
  予測信頼性尺度は統計学と機械学習において基本的なものである。 これらの措置は、実際に使用される多種多様なモデルを考慮に入れるべきである。 この研究で開発されたフレームワークは、リスクフィットのトレードオフとして信頼性を表現している。
  論文  参考訳（メタデータ） (2020-11-24T19:52:38Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。