-
背景
论文介绍了开源软件面临的安全挑战,特别是如何高效地识别和应对安全漏洞修补。随着开源软件的广泛应用,相关的安全漏洞日益增多。作者指出,由于软件提供商处理维护工作的不一致性,它们经常会发布没有详细告知的安全补丁,使用户面临未解决的安全风险。 -
已有的工作 现有的工作主要集中在使用基于语法特征的机器学习算法或处理补丁作为顺序数据的深度神经网络,如 GraphSPD 等方法。然而,这些方法通常只关注局部代码段,可能无法捕捉函数或模块间交互的广泛上下文。尽管 GraphSPD 在捕捉补丁中的上下文方面取得成功,但这些方法缺乏利用大型语言模型获取源代码中关键上下文和标记的能力。
- 提出了一个以LLM为基础的安全补丁检测模型(LLMDA)
-
挑战1:如何提高安全补丁的检测精确度 现有技术主要关注于代码的局部结构而非广泛的上下文,可能会导致高误报率。LLMDA通过逐步对补丁进行检查并使用标注的说明来指引模型识别安全相关的补丁,采用PTFormer将补丁与代码结合,创建出包含补丁和代码内在细节及其互联性的混合属性。这种结合方式可以增加从补丁和代码的联合上下文中获取的洞见,从而提高检测的精确度。
-
挑战2:如何处理和结合多模态输入增强检测 LLMDA将生成的解释和设计的指令与补丁、源代码、描述结合,应对了如何获取并处理多模态输入的问题。通过对多种不同模态的输入进行编码和对齐到同一空间的操作,LLMDA能够从多层面进行学习,并利用随机对比学习模块来获得最终的二元输出结果,是安全性还是非安全性。
-
评估集中在框架检测安全补丁的能力和主要设计决策的有效性上。基于文献综述,作者选择了基线方法和评估指标。实验结果表明,该框架在两个目标数据集(PatchDB 和 SPI-DB)上的表现一致超过了基线方法(例如 TwinRNN 和 GraphSPD)。具体来说,LLMDA在这两个目标数据集上的表现比最新技术分别提高了42.86%和20.05%。文章还强调了该框架的实际应用性,通过验证在安全软件维护中的检测精准度来证明其性能。
论文提出了一种新颖的安全补丁检测框架 LLMDA,使用大型语言模型进行补丁分析和数据增强,并对多模态输入进行对齐。这使系统能够从补丁和代码的联合上下文中提取更丰富的信息,提升检测准确性。