原创力文档- 1、本文档共7页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
VulGuard:一种用于评估即时漏洞预测模型
的统一工具
DuongNguyen,ManhTran-Duc,ThanhLe-Cong,TrietHuynhMinhLe,M.AliBabar,Quyet-ThangHuynh
SchoolofCommunicationandInformationTechnology,HanoiUniversityofScienceandTechnology,Hanoi,Vietnam
{duong.nd215336,manh.td194616}@.vn,thang.huynhquyet@.vn
SchoolofComputingandInformationSystems,TheUniversityofMelbourne,Melbourne,Australia
congthanh.le@.au
SchoolofComputerandMathematicalSciences,TheUniversityofAdelaide,Adelaide,Australia
{triet.h.le,ali.babar}@.au
本
译摘要—我们介绍了VulGuard,一个旨在简化从GitHub尽管即时漏洞预测(JIT-VP)取得了显著进展[3],
中仓库中提取、处理和分析提交记录以进行即时漏洞预测(JIT-[4],[5],实际应用仍然有限。主要障碍在于数据整理的
1VP)研究的自动化工具。VulGuard自动挖掘提交历史,提取细复杂性:从异构且不断演化的软件仓库中提取、清洗和
v粒度代码变更、提交消息和软件工程指标,并将它们格式化以便
5后续分析。此外,它集成了多种最先进的漏洞预测模型,允许研预处理提交内容通常是特定于仓库的、容易出错且劳动
8究人员在几乎无需设置的情况下训练、评估和比较这些模型。通密集型的任务。这一挑战导致了实验规模缩小以及模型
6
6过在一个统一框架内支持仓库级挖掘和模型级实验,VulGuard评估不一致[6]。此外,现有的研究很少解决与现代开
1.解决了软件安全研究中的可重复性和扩展性问题。VulGuard发工作流程的整合问题,从而阻碍了向开发者提供可操
7还可以轻松集成到CI/CD管道中。我们在两个有影响力的开源作反馈,并限制了学术模型的实际效用[7]。为了弥合
0
5项目,FFmpeg和Linux内核中展示了该工具的有效性,突显这一差距,需要一个统一的工具来简化从数据收集和预
2了其加速实际JIT-VP研究并促进标准化基准测试的潜力。演
:处理到模型训练和评估的整个JIT-VP流水线,同时支
v示视频可在以下位置获取:https://youtu.be/j96096-pxbs。
i持无缝集成到现实世界的开发环境中。
x
rI.介绍
a为了解决这些挑战,我们引入了VulGuard,一个
软件漏洞对软件系统的可靠性、安全性和功能造成用于评估JIT-VP技术的统一工具。该工具已被用于我
了不可忽视的负面影响,导致用户和公司遭受严重损们在2025年ICSME会议上被接受的关于JIT-VP的经
失。值得一提的是2024年CrowdStrike系统中断事件,验研究中[7]。VulGuard提供三大主要功能:(1)数据
预期字段与实际输入之间的不匹配引发了一系列系统集构建,(2)模型训练,以及(3)模型评估。对于数据
故障,影响了数百万设备并扰乱了全球的关键服务[1],集构建,我们的工具设计用于从提交中提取各种特征,
[2]。这一事件突显了部署后发现的漏洞所带来的重大财如专家特征[3],[8],属性图[4],消
文档评论(0)