論文の概要: Compile-time Security Analysis and Optimization of Sensitive String Producers

• arxiv url: http://arxiv.org/abs/2605.16561v1
• Date: Fri, 15 May 2026 19:04:02 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-05-26 16:57:21.286144
• Title: Compile-time Security Analysis and Optimization of Sensitive String Producers
• Title（参考訳）: 感性ストリングプロデューサのコンパイル時セキュリティ解析と最適化
• Authors: Mike Samuel, Tom Palmer, Shaw Summa, Robert Grayson,
• Abstract要約: 本稿では,コンテンツ言語にまたがるセキュアなコンテンツ構成のための汎用フレームワークを提案する。 文字列式構文への追加的な変更を通じて、汎用プログラミング言語に直接統合する。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://creativecommons.org/licenses/by-nc-sa/4.0/
• Abstract: Content composition vulnerabilities remain among the most prevalent and persistent classes of security weakness in deployed software. Prior mitigations, including developer training, static analysis tools, and domain-specific template languages, each face diminishing returns; AI code generation inherits these limitations and introduces new ones, reproducing insecure patterns from training data and lacking reliable context for self-correction. This paper introduces a general framework for secure content composition that extends across content languages and integrates directly into general-purpose programming languages via additive changes to string expression syntax. We define a language design goal of minimizing the lexical distance between secure and insecure idioms, and show that this goal admits practical compilation strategies: static analyses specified in terms of dynamic semantics, runtime performance approaching naïve string concatenation, and developer-facing diagnostics surfaced as compile-time errors or warnings. The approach enables an effective division of labor: security engineers encode composition hazards in libraries once; developers and AI coding agents select the appropriate library primitive to implement features correctly without needing to internalize specialist security knowledge; compiler diagnostics provide objective, position-keyed feedback that grounds both human review and iterative AI self-correction; and security responders focus on keeping libraries current rather than auditing ad-hoc security decisions distributed across a codebase.
• Abstract（参考訳）: コンテンツ構成の脆弱性は、デプロイされたソフトウェアにおいて最も一般的で永続的なセキュリティ脆弱性のクラスである。 AIコード生成はこれらの制限を継承し、新しいものを導入し、トレーニングデータから安全でないパターンを再現し、自己修正の信頼性に欠ける。 本稿では,文字列表現構文に付加的な変更を加えることで,コンテンツ言語全体にわたって拡張し,汎用プログラミング言語に直接統合する,セキュアなコンテントコンポジションのための汎用フレームワークを提案する。 我々は,セキュアなイディオムと安全でないイディオム間の語彙距離を最小化する言語設計の目標を定義し,動的セマンティクスで指定された静的解析,Na've文字列の結合に近づく実行時パフォーマンス,コンパイル時のエラーや警告として表面化された開発者向け診断など,実際のコンパイル戦略を許容することを示す。 このアプローチは、ライブラリ内のコンポジションハザードを一度にエンコードするセキュリティエンジニア、専門的なセキュリティ知識を内部化することなく機能を実装するための適切なライブラリプリミティブを選択する開発者とAIコーディングエージェント、コンパイラ診断は、人間のレビューと反復AIの自己補正の両方を根拠とした客観的で位置対応のフィードバックを提供する。

関連論文リスト

• LLM-Based Static Verification of Code Against Natural-Language Requirements: An Industrial Experience Report [3.5867640049033054]
  本稿では,この課題に対処するための2段階のLLMベースのワークフローを,インテリジェント車両サイバーセキュリティケーススタディで紹介する。 第一段階では、AIベースのルールマイナーが自然言語要求から検証可能なルールを抽出する。 第2段階では、AIベースのコード監査者が、抽出されたルールに対する実装証拠をチェックする。
  論文  参考訳（メタデータ） (2026-05-18T06:34:03Z)
• CIBER: A Comprehensive Benchmark for Security Evaluation of Code Interpreter Agents [27.35968236632966]
  LLMベースのコードインタプリタエージェントは、ますます重要な状況にデプロイされている。 既存のベンチマークでは、動的コード実行、ツールインタラクション、マルチターンコンテキストから生じるセキュリティリスクをキャプチャできない。 動的アタック生成、分離されたセキュアサンドボックス、状態認識評価を組み合わせた自動ベンチマークであるCIBERを紹介する。
  論文  参考訳（メタデータ） (2026-02-23T06:41:41Z)
• From Separate Compilation to Sound Language Composition [7.697692044735504]
  この研究は、Neverlang言語ワークベンチのデータフロー分析に基づく理論的に健全な静的解析ツールであるnlgcheckを紹介した。 nlgcheckはコンパイル時に潜在的ランタイムエラー(未定義の属性アクセスなど)を検出し、強い静的正当性保証を維持しながら、別個のコンパイルを保存する。
  論文  参考訳（メタデータ） (2026-02-03T17:38:34Z)
• From Detection to Prevention: Explaining Security-Critical Code to Avoid Vulnerabilities [2.490168997159702]
  この研究は、セキュリティクリティカルな機能を実装するコード領域を強調することによって、脆弱性を防止するための積極的な戦略を探求する。 コードレベルのソフトウェアメトリクスを使用してセキュリティクリティカルなメソッドを識別するIntelliJ IDEAプラグインのプロトタイプを提示する。
  論文  参考訳（メタデータ） (2026-01-31T13:16:01Z)
• RealSec-bench: A Benchmark for Evaluating Secure Code Generation in Real-World Repositories [58.32028251925354]
  LLM(Large Language Models)は、コード生成において顕著な能力を示しているが、セキュアなコードを生成する能力は依然として重要で、未調査の領域である。 我々はRealSec-benchを紹介します。RealSec-benchは、現実世界の高リスクなJavaリポジトリから慎重に構築されたセキュアなコード生成のための新しいベンチマークです。
  論文  参考訳（メタデータ） (2026-01-30T08:29:01Z)
• SecureBERT 2.0: Advanced Language Model for Cybersecurity Intelligence [5.844061361572245]
  サイバーセキュリティアプリケーション向けに開発されたエンコーダのみの言語モデルであるSecureBERT 2.0を提案する。 改良された長文モデリングと階層符号化を導入し、拡張および異種文書の効率的な処理を可能にした。 SecureBERT 2.0は、複数のサイバーセキュリティベンチマークで最先端のパフォーマンスを達成する。
  論文  参考訳（メタデータ） (2025-09-30T20:12:37Z)
• Rethinking Testing for LLM Applications: Characteristics, Challenges, and a Lightweight Interaction Protocol [83.83217247686402]
  大言語モデル(LLM)は、単純なテキストジェネレータから、検索強化、ツール呼び出し、マルチターンインタラクションを統合する複雑なソフトウェアシステムへと進化してきた。 その固有の非決定主義、ダイナミズム、文脈依存は品質保証に根本的な課題をもたらす。 本稿では,LLMアプリケーションを3層アーキテクチャに分解する: textbftextitSystem Shell Layer, textbftextitPrompt Orchestration Layer, textbftextitLLM Inference Core。
  論文  参考訳（メタデータ） (2025-08-28T13:00:28Z)
• Training Language Models to Generate Quality Code with Program Analysis Feedback [66.0854002147103]
  大規模言語モデル(LLM)によるコード生成は、ますます本番環境で採用されているが、コード品質の保証には失敗している。 実運用品質のコードを生成するためにLLMにインセンティブを与える強化学習フレームワークであるREALを提案する。
  論文  参考訳（メタデータ） (2025-05-28T17:57:47Z)
• INDICT: Code Generation with Internal Dialogues of Critiques for Both Security and Helpfulness [110.6921470281479]
  INDICTは、安全性と有用性の両方のガイダンスのために、批評家の内的対話で大きな言語モデルを強化する新しいフレームワークである。 内部対話は、安全主導の批評家と役に立つ主導の批評家の二重協調システムである。 提案手法は,安全性と有用性解析の両面において,高度な批判のレベルを提供し,出力コードの品質を著しく向上させる。
  論文  参考訳（メタデータ） (2024-06-23T15:55:07Z)
• CodeLMSec Benchmark: Systematically Evaluating and Finding Security Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
  自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。 これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。 この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
  論文  参考訳（メタデータ） (2023-02-08T11:54:07Z)
• Software Vulnerability Detection via Deep Learning over Disaggregated Code Graph Representation [57.92972327649165]
  この研究は、コードコーパスから安全でないパターンを自動的に学習するためのディープラーニングアプローチを探求する。 コードには解析を伴うグラフ構造が自然に認められるため,プログラムの意味的文脈と構造的規則性の両方を利用する新しいグラフニューラルネットワーク(GNN)を開発する。
  論文  参考訳（メタデータ） (2021-09-07T21:24:36Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。