CEXDEX+
Acheter des cryptomonnaiesMarchésSpotFutures500XÉpargneÉvénements
Plus
Frénésie CHZ
Cet article présente une approche d'apprentissage automatique qui prédit les modifications de code vulnérables avant leur soumission, démontre une haute précision sur de grands ensembles de données open-source, et appelle à un partage à l'échelle communautaire des données de crédibilité des développeurs pour renforcer la sécurité de la chaîne d'approvisionnement logicielle.Cet article présente une approche d'apprentissage automatique qui prédit les modifications de code vulnérables avant leur soumission, démontre une haute précision sur de grands ensembles de données open-source, et appelle à un partage à l'échelle communautaire des données de crédibilité des développeurs pour renforcer la sécurité de la chaîne d'approvisionnement logicielle.

Un outil ML détecte 80% des commits induisant des vulnérabilités à l'avance

Par : Hackernoon
2025/11/20 18:00
Mintlayer
ML$0.01492+0.20%
OpenLedger
OPEN$0.25049+2.48%

RÉSUMÉ

I. INTRODUCTION

II. CONTEXTE

III. CONCEPTION

  • DÉFINITIONS
  • OBJECTIFS DE CONCEPTION
  • CADRE
  • EXTENSIONS

IV. MODÉLISATION

  • CLASSIFICATEURS
  • CARACTÉRISTIQUES

V. COLLECTE DE DONNÉES

VI. CARACTÉRISATION

  • LATENCE DE CORRECTION DES VULNÉRABILITÉS
  • ANALYSE DES MODIFICATIONS DE CORRECTION DE VULNÉRABILITÉS
  • ANALYSE DES MODIFICATIONS INDUISANT DES VULNÉRABILITÉS

VII. RÉSULTAT

  • VALIDATION N-FOLD
  • ÉVALUATION EN MODE DE DÉPLOIEMENT EN LIGNE

VIII. DISCUSSION

  • IMPLICATIONS SUR LES MULTI-PROJETS
  • IMPLICATIONS SUR LES TRAVAUX DE SÉCURITÉ ANDROID
  • MENACES À LA VALIDITÉ
  • APPROCHES ALTERNATIVES

IX. TRAVAUX CONNEXES

CONCLUSION ET RÉFÉRENCES

\ \

X. CONCLUSION

Cet article a présenté une approche pratique de test de sécurité préventif basée sur une prédiction en ligne précise des modifications de code susceptibles d'être vulnérables au moment de la pré-soumission. Nous avons présenté trois types de nouvelles données de caractéristiques efficaces pour la prédiction des vulnérabilités et évalué leur rappel et leur précision via une validation N-fold en utilisant les données du vaste et important projet open source Android.

\ Nous avons également évalué le mode de déploiement en ligne et identifié le sous-ensemble de types de données de caractéristiques qui ne sont pas spécifiques à un projet cible où les données d'entraînement sont collectées et peuvent donc être utilisées pour d'autres projets (par exemple, configuration multi-projets). Les résultats d'évaluation ont montré que notre cadre VP identifie environ 80% des modifications induisant des vulnérabilités évaluées au moment de la pré-soumission avec une précision de 98% et un taux de faux positifs <1,7%.

\ Les résultats positifs appellent à des recherches futures (par exemple, en utilisant des techniques avancées de ML et de GenAI) pour exploiter l'approche ou le cadre VP pour les projets open source en amont gérés par des communautés et qui sont en même temps critiques pour les nombreux logiciels et produits informatiques utilisés quotidiennement par plusieurs milliards d'utilisateurs.

\ L'urgence de cet article découle de ses avantages sociétaux potentiels. L'adoption généralisée d'approches basées sur le ML comme le cadre VP pourrait considérablement améliorer nos capacités à partager les données de crédibilité des contributeurs et projets open source. De telles données partagées permettraient aux communautés open source de lutter contre des menaces comme les faux comptes (comme observé dans l'attaque par porte dérobée de l'utilitaire Linux XZ).

\ De plus, cette approche basée sur le ML peut faciliter une réponse rapide entre les projets open source lorsque des attaques planifiées de longue date émergent. Le partage d'informations entre des projets similaires ou en aval améliore la préparation et réduit le temps de réponse à des attaques similaires.

\ Par conséquent, nous appelons à une initiative communautaire open source pour établir une pratique de partage de la base de données de crédibilité des développeurs et des projets afin de renforcer nos chaînes d'approvisionnement de logiciels open source dont dépendent de nombreux produits informatiques et logiciels.

\

RÉFÉRENCES

[1] T. Menzies, J. Greenwald, et A. Frank, "Data Mining Static Code Attributes to Learn Defect Predictors," IEEE Transactions on Software Engineering, 33(1):2-13, 2007.

[2] M. Halstead, Elements of Software Science, Elsevier, 1977.

[3] T. McCabe, "A Complexity Measure," IEEE Transactions on Software Engineering, 2(4):308-320, 1976.

[4] R. Quinlan, C4.5: Programs for Machine Learning, Morgan Kaufman, 1992.

[5] T. Zimmermann, N. Nagappan, H. Gall, E. Giger, et B. Murphy, "Cross-project defect prediction: a large scale experiment on data vs. domain vs. process," in Proceedings of the Joint Meeting of the European Software Engineering Conference and the ACM SIGSOFT Symposium on the Foundations of Software Engineering (ESEC/FSE), pp. 91-100, 2009.

[6] A. Chou, J. Yang, B. Chelf, S. Hallem, et D. Engler, "An Empirical Study of Operating Systems Errors," in Proceedings of the ACM Symposium on Operating Systems Principles (SOSP), pp. 73-88, 2001.

[7] S. Kim, T. Zimmermann, E. J. Whitehead Jr., et A. Zeller, "Predicting Faults from Cached History," in Proceedings of the ACM International Conference on Software Engineering (ICSE), pp. 489- 498, 2007.

[8] F. Rahman, D. Posnett, A. Hindle, E. Barr, et P. Devanbu, "BugCache for inspections," in Proceedings of the ACM SIGSOFT Symposium and the European Conference on Foundations of Software Engineering (SIGSOFT/FSE), p. 322, 2011.

[9] C. Lewis, Z. Lin, C. Sadowski, X. Zhu, R. Ou, et E. J. Whitehead Jr., "Does bug prediction support human developers? findings from a google case study," in Proceedings of the International Conference on Software Engineering (ICSE), pp. 372-381, 2013.

[10] J. Walden, J. Stuckman, et R. Scandariato, "Predicting Vulnerable Components: Software Metrics vs Text Mining," in Proceedings of the IEEE International Symposium on Software Reliability Engineering, pp. 23-33, 2014.

[11] A. Chou, J. Yang, B. Chelf, S. Hallem, et D. Engler, "An empirical study of operating systems errors," in Proceedings of the ACM Symposium on Operating Systems Principles (SOSP), pp. 73-88, 2001.

[12] S. R. Chidamber et C. F. Kemerer, "A Metrics Suite for Object Oriented Design," IEEE Transactions on Software Engineering, 20(6):476-493, 1994.

[13] R. Quinlan, C4.5: Programs for Machine Learning, Morgan Kaufmann Publishers, San Mateo, CA, 1993.

[14] A. Chou, J. Yang, B. Chelf, S. Hallem, et D. Engler, "An empirical study of operating systems errors," in Proceedings of the ACM Symposium on Operating Systems Principles (SOSP), pp. 73-88, 2001.

[15] R. Chillarege, I. S. Bhandari, J. K. Chaar, M. J. Halliday, D. S. Moebus, B. K. Ray, et M-Y. Wong, "Orthogonal defect classification-a concept for in-process measurements", IEEE Transactions on Software Engineering, 18(11):943-956, 1992.

[16] R. Natella, D. Cotroneo, et H. Madeira, "Assessing Dependability with Software Fault Injection: A Survey", ACM Computing Surveys, 48(3), 2016.

[17] K. S. Yim, "Norming to Performing: Failure Analysis and Deployment Automation of Big Data Software Developed by Highly Iterative Models," in Proceedings of the IEEE International Symposium on Software Reliability Engineering (ISSRE), pp. 144-155, 2014.

[18] S. R. Chidamber et C. F. Kemerer, "A Metrics Suite for Object Oriented Design," IEEE Transactions on Software Engineering, 20(6):476-493, 1994.

[19] K. S. Yim, "Assessment of Security Defense of Native Programs Against Software Faults," System Dependability and Analytics, Springer Series in Reliability Engineering, Springer, Cham., 2023.

[20] M. Fourné, D. Wermke, S. Fahl et Y. Acar, "A Viewpoint on Human Factors in Software Supply Chain Security: A Research Agenda," IEEE Security & Privacy, vol. 21, no. 6, pp. 59-63, Nov.-Dec. 2023.

[21] P. Ladisa, H. Plate, M. Martinez et O. Barais, "SoK: Taxonomy of Attacks on Open-Source Software Supply Chains," in Proceedings of the IEEE Symposium on Security and Privacy (SP), pp. 1509-1526, 2023.

[22] D. Wermke et al., ""Always Contribute Back": A Qualitative Study on Security Challenges of the Open Source Supply Chain," in Proceedings of the IEEE Symposium on Security and Privacy (SP), pp. 1545-1560, 2023.

[23] A. Dann, H. Plate, B. Hermann, S. E. Ponta et E. Bodden, "Identifying Challenges for OSS Vulnerability Scanners - A Study & Test Suite," IEEE Transactions on Software Engineering, vol. 48, no. 9, pp. 3613-3625, 1 Sept. 2022.

[24] S. Torres-Arias, A. K. Ammula, R. Curtmola, et J. Cappos, "On omitting commits and committing omissions: Preventing git metadata tampering that (re)introduces software vulnerabilities," in Proceedings of the 25th USENIX Security Symposium, pp. 379-395, 2016.

[25] R. Goyal, G. Ferreira, C. Kastner, et J. Herbsleb, "Identifying unusual commits on github," Journal of Software: Evolution and Process, vol. 30, no. 1, p. e1893, 2018.

[26] C. Soto-Valero, N. Harrand, M. Monperrus, et B. Baudry, "A comprehensive study of bloated dependencies in the maven ecosystem," Empirical Software Engineering, vol. 26, Mar 2021.

[27] R. Duan, O. Alrawi, R. P. Kasturi, R. Elder, B. Saltaformaggio, et W. Lee, "Towards measuring supply chain attacks on package managers for interpreted languages," arXiv preprint arXiv:2002.01139, 2020.

[28] Enduring Security Framework, "Securing the software supply chain: Recommended practices guide for developers," Cybersecurity and Infrastructure Security Agency, Washington, DC, USA, August 2022.

[29] Z. Durumeric et al., "The matter of heartbleed," in Proceedings of the ACM Internet Measurement Conference, pp. 475-488, 2014.

[30] D. Everson, L. Cheng, et Z. Zhang, "Log4shell: Redefining the web attack surface," in Proceedings of the Workshop on Measurements, Attacks, and Defenses for the Web (MADWeb), pp. 1-8, 2022.

[31] "Highly evasive attacker leverages SolarWinds supply chain to compromise multiple global victims with SUNBURST backdoor," Mandiant, disponible sur https://www.mandiant.com/resources/blog/evasive-attackerleverages-solarwinds-supply-chain-compromises-with-sunburstbackdoor

[32] W. Enck et L. Williams, "Top five challenges in software supply chain security: Observations from 30 industry and government organizations," IEEE Security Privacy, vol. 20, no. 2, pp. 96-100, 2022.

[33] "CircleCI incident report for January 4, 2023 security incident." CircleCI, disponible sur https://circleci.com/blog/jan-4-2023-incidentreport/ [34] K. Toubba, "Security incident update and recommended actions," LastPass, disponible sur https://blog.lastpass.com/2023/03/securityincident-update-recommended-actions/

[35] D. Wermke, N. Wöhler, J. H. Klemmer, M. Fourné, Y. Acar, et S. Fahl, "Committed to trust: A qualitative study on security & trust in open source software projects," in Proceedings of the IEEE Symposium on Security and Privacy (S&P), pp. 1880-1896, 2022.

[36] D. A. Wheeler, "Countering trusting trust through diverse doublecompiling," in Proceedings of the IEEE Annual Computer Security Applications Conference (ACSAC), pp. 13-48, 2005.

[37] K. S. Yim, I. Malchev, A. Hsieh, et D. Burke, "Treble: Fast Software Updates by Creating an Equilibrium in an Active Software Ecosystem of Globally Distributed Stakeholders," ACM Transactions on Embedded Computing Systems, 18(5s):104, 2019.

[38] G. Holmes, A. Donkin, et I. H. Witten, "WEKA: a machine learning workbench," in Proceedings of the Australian New Zealnd Intelligent Information Systems Conference (ANZIIS), pp. 357-361, 1994.

[39] D. Yeke, M. Ibrahim, G. S. Tuncay, H. Farrukh, A. Imran, A. Bianchi, et Z. B. Celik,, "Wear's my Data? Understanding the Cross-Device Runtime Permission Model in Wearables," in Proceedings of the 2024 IEEE Symposium on Security and Privacy (SP), pp. 76-76, 2024.

[40] G. S. Tuncay, J. Qian, C. A. Gunter, "See No Evil: Phishing for Permissions with False Transparency," in Proceedings of the 29th USENIX Security Symposium, pp. 415-432, 2020.

[41] K. R. Jones,

Clause de non-responsabilité : les articles republiés sur ce site proviennent de plateformes publiques et sont fournis à titre informatif uniquement. Ils ne reflètent pas nécessairement les opinions de MEXC. Tous les droits restent la propriété des auteurs d'origine. Si vous estimez qu'un contenu porte atteinte aux droits d'un tiers, veuillez contacter service@support.mexc.com pour demander sa suppression. MEXC ne garantit ni l'exactitude, ni l'exhaustivité, ni l'actualité des contenus, et décline toute responsabilité quant aux actions entreprises sur la base des informations fournies. Ces contenus ne constituent pas des conseils financiers, juridiques ou professionnels, et ne doivent pas être interprétés comme une recommandation ou une approbation de la part de MEXC.

Vous aimerez peut-être aussi

Prédiction des prix du Litecoin LTC 2025, 2026 – 2030 : Le Litecoin peut-il atteindre 1000 dollars ?

Prédiction des prix du Litecoin LTC 2025, 2026 – 2030 : Le Litecoin peut-il atteindre 1000 dollars ?

L'article Prédiction des prix du Litecoin LTC 2025, 2026 – 2030 : Le Litecoin peut-il atteindre 1000 dollars ? est apparu en premier sur Coinpedia Fintech News Points forts de l'article Prix du Litecoin aujourd'hui Le prix du Litecoin pourrait atteindre un sommet potentiel d'environ 231,21 $ cette année. Le prix du LINK, avec une hausse potentielle, pourrait atteindre 1 755,77 $ d'ici 2030. Le Litecoin a discrètement été l'un des plus performants cette année. Depuis janvier, il a gagné du terrain avec une adoption croissante, un volume de transactions solide et un regain d'intérêt des investisseurs...
Litecoin
LTC$90.97-1.65%
MAY
MAY$0.01945+3.18%
Chainlink
LINK$13.52+2.73%
Partager
CoinPedia2025/11/20 20:53
Les 5 principales raisons pour lesquelles les plateformes de staking XRP Tundra domineront les portefeuilles de cryptomonnaies en 2026

Les 5 principales raisons pour lesquelles les plateformes de staking XRP Tundra domineront les portefeuilles de cryptomonnaies en 2026

L'écosystème de staking de XRP Tundra est prêt à dominer les portefeuilles de 2026 grâce à des rendements soutenus par des revenus, une exécution cross-chain, une sécurité vérifiée et d'importants catalyseurs de croissance XRPL convergeant simultanément.
TOP Network
TOP$0.000096--%
XRP
XRP$2.0993-0.37%
CROSS
CROSS$0.11196-2.38%
Partager
Brave Newcoin2025/11/20 21:45
Metaplanet Dévoile une Nouvelle Structure de Capital Adossée à Bitcoin avec une Offre Perpétuelle Préférentielle de 150 M$

Metaplanet Dévoile une Nouvelle Structure de Capital Adossée à Bitcoin avec une Offre Perpétuelle Préférentielle de 150 M$

Marchés Part Partager cet article 
Copier le lienX (Twitter)LinkedInFacebookEmail
Metaplanet Dévoile Nouveau Bitcoin Bac
Partager
Coindesk2025/11/20 21:21

Actualités tendance

Plus

Prédiction des prix du Litecoin LTC 2025, 2026 – 2030 : Le Litecoin peut-il atteindre 1000 dollars ?

Les 5 principales raisons pour lesquelles les plateformes de staking XRP Tundra domineront les portefeuilles de cryptomonnaies en 2026

Metaplanet Dévoile une Nouvelle Structure de Capital Adossée à Bitcoin avec une Offre Perpétuelle Préférentielle de 150 M$

ETHZilla a révélé qu'elle détient actuellement 94 060 ETH, d'une valeur de 285 millions de dollars.

Oubliez l'ETF $XRP : Ce Token Bancaire 100x Vient de Lever 2 Millions de Dollars

Prix des cryptomonnaies

mc_price_img_alt

Bitcoin

BTC

$90,431.71
$90,431.71$90,431.71

+0.53%

mc_price_img_alt

Ethereum

ETH

$2,982.12
$2,982.12$2,982.12

+0.28%

mc_price_img_alt

XRP

XRP

$2.0919
$2.0919$2.0919

+0.31%

mc_price_img_alt

Solana

SOL

$139.79
$139.79$139.79

+3.81%

mc_price_img_alt

DOGE

DOGE

$0.15795
$0.15795$0.15795

+2.26%