چکیده Open Source Software (OSS) security and resilience are worldwide phenomena hampering economic and technological innovation. OSS vulnerabilities can cause unauthorized access, data breaches, network disruptions, and privacy violations, rendering any benefits worthless. While recent deep-learning techniques have shown great promise in identifying and localizing vulnerabilities in source code, it is unclear how effective these research techniques are from a usability perspective due to a lack of proper methodological analysis. Usually, these methods offload a developer’s task of classifying and localizing vulnerable code; still, a reasonable study to measure the actual effectiveness of these systems to the end user has yet to be conducted. To address the challenge of proper developer training from the prior methods, we propose a system to link vulnerabilities to their root cause, thereby intuitively educating the developers to code more securely. Furthermore, we provide a comprehensive usability study to test the effectiveness of our system in fixing vulnerabilities and its capability to assist developers in writing more secure code. We demonstrate the effectiveness of our system by showing its efficacy in helping developers fix source code with vulnerabilities. Our study shows a 24% improvement in code repair capabilities compared to previous methods. We also show that, when trained by our system, on average, approximately 9% of the developers naturally tend to write more secure code with fewer vulnerabilities.

چکیده به فارسی (ترجمه ماشینی) امنیت و انعطاف پذیری نرم افزار منبع باز (OSS) پدیده های جهانی مانع نوآوری اقتصادی و فناوری می شود.آسیب پذیری های OSS می تواند باعث دسترسی غیرمجاز ، نقض داده ها ، اختلال در شبکه و نقض حریم خصوصی شود و هرگونه مزایایی را بی ارزش می کند.در حالی که تکنیک های یادگیری عمیق اخیر نوید زیادی را در شناسایی و بومی سازی آسیب پذیری ها در کد منبع نشان داده اند ، مشخص نیست که این تکنیک های تحقیق به دلیل عدم وجود تجزیه و تحلیل مناسب روش شناختی از دیدگاه قابلیت استفاده مؤثر هستند.معمولاً ، این روشها وظیفه یک توسعه دهنده را برای طبقه بندی و بومی سازی کد آسیب پذیر بارگیری می کنند.با این وجود ، یک مطالعه معقول برای اندازه گیری اثربخشی واقعی این سیستم ها به کاربر نهایی هنوز انجام نشده است.برای پرداختن به چالش آموزش مناسب توسعه دهنده از روشهای قبلی ، ما سیستمی را برای پیوند آسیب پذیری به علت اصلی آنها پیشنهاد می کنیم ، در نتیجه به طور شهودی به توسعه دهندگان آموزش می دهیم تا ایمن تر کد کنند.علاوه بر این ، ما یک مطالعه قابلیت استفاده جامع برای آزمایش اثربخشی سیستم خود در رفع آسیب پذیری ها و توانایی آن برای کمک به توسعه دهندگان در نوشتن کد امن تر ارائه می دهیم.ما با نشان دادن اثربخشی آن در کمک به توسعه دهندگان کد منبع با آسیب پذیری ، اثربخشی سیستم خود را نشان می دهیم.مطالعه ما نشان می دهد که در مقایسه با روش های قبلی ، پیشرفت 24 ٪ در قابلیت های تعمیر کد را نشان می دهد.ما همچنین نشان می دهیم که ، هنگامی که توسط سیستم ما آموزش دیده است ، به طور متوسط ، تقریباً 9 ٪ از توسعه دهندگان به طور طبیعی تمایل به نوشتن کد امن تر با آسیب پذیری های کمتری دارند.

زبان مقاله انگلیسی

عنوان مقاله به انگلیسی Causative Insights into Open Source Software Security using Large Language Code Embeddings and Semantic Vulnerability Graph

عنوان مقاله به فارسی بینش علّی در مورد امنیت نرم‌افزار منبع باز با استفاده از جایگذاری های کد زبان بزرگ و نمودار آسیب‌پذیری معنایی

فرمت مقاله PDF

نویسندگان Nafis Tanveer Islam, Gonzalo De La Torre Parra, Dylan Manual, Murtuza Jadliwala, Peyman Najafirad

مشاهده بیشتر