会员服务
代码 · 安全关键 · 度量 · 识别 · 知识 ·
1 月 31 日
From Detection to Prevention: Explaining Security-Critical Code to Avoid Vulnerabilities
翻译:从检测到预防:通过解释安全关键代码避免漏洞
Ranjith Krishnamurthy,Oshando Johnson,Goran Piskachev,Eric Bodden
Ranjith Krishnamurthy,Oshando Johnson,Goran Piskachev,Eric Bodden
from arxiv, 4 pages

Security vulnerabilities often arise unintentionally during development due to a lack of security expertise and code complexity. Traditional tools, such as static and dynamic analysis, detect vulnerabilities only after they are introduced in code, leading to costly remediation. This work explores a proactive strategy to prevent vulnerabilities by highlighting code regions that implement security-critical functionality -- such as data access, authentication, and input handling -- and providing guidance for their secure implementation. We present an IntelliJ IDEA plugin prototype that uses code-level software metrics to identify potentially security-critical methods and large language models (LLMs) to generate prevention-oriented explanations. Our initial evaluation on the Spring-PetClinic application shows that the selected metrics identify most known security-critical methods, while an LLM provides actionable, prevention-focused insights. Although these metrics capture structural properties rather than semantic aspects of security, this work lays the foundation for code-level security-aware metrics and enhanced explanations.


翻译:安全漏洞通常因开发过程中缺乏安全专业知识及代码复杂性而无意产生。传统工具(如静态与动态分析)仅在漏洞被引入代码后才能检测到,导致修复成本高昂。本研究探索一种主动预防漏洞的策略,通过高亮实现安全关键功能(如数据访问、身份验证和输入处理)的代码区域,并为其安全实现提供指导。我们提出一款IntelliJ IDEA插件原型,该原型利用代码级软件度量指标识别潜在的安全关键方法,并采用大语言模型(LLMs)生成面向预防的解释。我们在Spring-PetClinic应用上的初步评估表明,所选度量指标能识别出大多数已知的安全关键方法,而LLM可提供具有可操作性、以预防为核心的见解。尽管这些度量指标捕捉的是安全的结构特性而非语义层面,但本研究为代码级安全感知度量指标与增强型解释机制奠定了基础。
0
下载
关闭预览

相关内容

代码(Code)是专知网的一个重要知识资料文档板块,旨在整理收录论文源代码、复现代码,经典工程代码等,便于用户查阅下载使用。
《网络安全中的机器学习算法:网络防护与攻击检测》最新报告
《网络安全中的机器学习算法:网络防护与攻击检测》最新报告
专知会员服务
19+阅读 · 2025年6月24日
深度学习模型安全:威胁与防御,176页pdf
深度学习模型安全:威胁与防御,176页pdf
专知会员服务
28+阅读 · 2024年12月13日
《理解、评估和缓解人工智能系统中的安全风险》美海军67页论文
《理解、评估和缓解人工智能系统中的安全风险》美海军67页论文
专知会员服务
52+阅读 · 2023年3月25日
数据安全市场研究报告(附报告),93页ppt
数据安全市场研究报告(附报告),93页ppt
专知会员服务
57+阅读 · 2022年11月3日
智慧安全产业发展白皮书
智慧安全产业发展白皮书
专知会员服务
71+阅读 · 2022年8月26日
2022《数据安全治理白皮书 4.0》,219页pdf,中关村网络安全与信息化产业联盟数据安全治理专业委员会发布
2022《数据安全治理白皮书 4.0》,219页pdf,中关村网络安全与信息化产业联盟数据安全治理专业委员会发布
专知会员服务
65+阅读 · 2022年5月31日
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
专知会员服务
66+阅读 · 2022年4月14日
【AI系统安全】《对抗性(攻防)机器学习的系统方法》,42页pdf
【AI系统安全】《对抗性(攻防)机器学习的系统方法》,42页pdf
专知会员服务
44+阅读 · 2022年3月25日
深度学习赋能的恶意代码攻防研究进展
深度学习赋能的恶意代码攻防研究进展
专知会员服务
30+阅读 · 2021年4月11日
首篇《后门学习综述》论文发布,阐述AI系统训练过程的安全性问题
专知会员服务
30+阅读 · 2020年11月21日
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
专知
17+阅读 · 2022年4月16日
《人工智能安全测评白皮书》,99页pdf
《人工智能安全测评白皮书》,99页pdf
专知
36+阅读 · 2022年2月26日
Xsser 一款自动检测XSS漏洞工具
Xsser 一款自动检测XSS漏洞工具
黑白之道
14+阅读 · 2019年8月26日
区块链隐私保护研究综述——祝烈煌详解
区块链隐私保护研究综述——祝烈煌详解
计算机研究与发展
23+阅读 · 2018年11月28日
网络安全态势感知
网络安全态势感知
计算机与网络安全
26+阅读 · 2018年10月14日
中国信通院:人工智能安全白皮书(2018年)(附解读及白皮书下载)
中国信通院:人工智能安全白皮书(2018年)(附解读及白皮书下载)
走向智能论坛
27+阅读 · 2018年9月18日
收藏】等级保护测评 主机安全 三级 详解测评要求项、测评方法及测评步骤,测评判分标准:0分标准和满分标准
收藏】等级保护测评 主机安全 三级 详解测评要求项、测评方法及测评步骤,测评判分标准:0分标准和满分标准
黑白之道
34+阅读 · 2018年8月23日
吴恩达机器学习中文版笔记:异常检测(Anomaly Detection)
吴恩达机器学习中文版笔记:异常检测(Anomaly Detection)
大数据文摘
19+阅读 · 2018年4月29日
干货 | 人工智能如何帮助银行反欺诈:来看看关于银行智能欺诈风险预测模型的研究
干货 | 人工智能如何帮助银行反欺诈:来看看关于银行智能欺诈风险预测模型的研究
AI100
11+阅读 · 2017年11月17日
网络安全态势感知浅析
网络安全态势感知浅析
计算机与网络安全
18+阅读 · 2017年10月13日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
面向安全关键系统的时间可预测多核代码生成方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
网络空间安全关键技术研究
国家自然科学基金
20+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
Secure Coding with AI -- From Detection to Repair
Arxiv
0+阅读 · 2月17日
An Empirical Study of the Imbalance Issue in Software Vulnerability Detection
Arxiv
0+阅读 · 2月12日
SecCodePRM: A Process Reward Model for Code Security
Arxiv
0+阅读 · 2月11日
LLMs + Security = Trouble
Arxiv
0+阅读 · 2月9日
Secure Code Generation via Online Reinforcement Learning with Vulnerability Reward Model
Arxiv
0+阅读 · 2月7日
Reading Between the Code Lines: On the Use of Self-Admitted Technical Debt for Security Analysis
Arxiv
0+阅读 · 2月3日
System Password Security: Attack and Defense Mechanisms
Arxiv
0+阅读 · 2月2日
Security Analysis of Web Applications Based on Gruyere
Arxiv
0+阅读 · 2月2日
AgenticSCR: An Autonomous Agentic Secure Code Review for Immature Vulnerabilities Detection
Arxiv
0+阅读 · 1月27日
Process-based Indicators of Vulnerability Re-Introducing Code Changes: An Exploratory Case Study
Arxiv
0+阅读 · 1月16日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
代码
安全关键
度量
识别
知识
相关VIP内容
《网络安全中的机器学习算法:网络防护与攻击检测》最新报告
《网络安全中的机器学习算法:网络防护与攻击检测》最新报告
专知会员服务
19+阅读 · 2025年6月24日
深度学习模型安全:威胁与防御,176页pdf
深度学习模型安全:威胁与防御,176页pdf
专知会员服务
28+阅读 · 2024年12月13日
《理解、评估和缓解人工智能系统中的安全风险》美海军67页论文
《理解、评估和缓解人工智能系统中的安全风险》美海军67页论文
专知会员服务
52+阅读 · 2023年3月25日
数据安全市场研究报告(附报告),93页ppt
数据安全市场研究报告(附报告),93页ppt
专知会员服务
57+阅读 · 2022年11月3日
智慧安全产业发展白皮书
智慧安全产业发展白皮书
专知会员服务
71+阅读 · 2022年8月26日
2022《数据安全治理白皮书 4.0》,219页pdf,中关村网络安全与信息化产业联盟数据安全治理专业委员会发布
2022《数据安全治理白皮书 4.0》,219页pdf,中关村网络安全与信息化产业联盟数据安全治理专业委员会发布
专知会员服务
65+阅读 · 2022年5月31日
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
专知会员服务
66+阅读 · 2022年4月14日
【AI系统安全】《对抗性(攻防)机器学习的系统方法》,42页pdf
【AI系统安全】《对抗性(攻防)机器学习的系统方法》,42页pdf
专知会员服务
44+阅读 · 2022年3月25日
深度学习赋能的恶意代码攻防研究进展
深度学习赋能的恶意代码攻防研究进展
专知会员服务
30+阅读 · 2021年4月11日
首篇《后门学习综述》论文发布,阐述AI系统训练过程的安全性问题
专知会员服务
30+阅读 · 2020年11月21日
热门VIP内容
相关资讯
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
专知
17+阅读 · 2022年4月16日
《人工智能安全测评白皮书》,99页pdf
《人工智能安全测评白皮书》,99页pdf
专知
36+阅读 · 2022年2月26日
Xsser 一款自动检测XSS漏洞工具
Xsser 一款自动检测XSS漏洞工具
黑白之道
14+阅读 · 2019年8月26日
区块链隐私保护研究综述——祝烈煌详解
区块链隐私保护研究综述——祝烈煌详解
计算机研究与发展
23+阅读 · 2018年11月28日
网络安全态势感知
网络安全态势感知
计算机与网络安全
26+阅读 · 2018年10月14日
中国信通院:人工智能安全白皮书(2018年)(附解读及白皮书下载)
中国信通院:人工智能安全白皮书(2018年)(附解读及白皮书下载)
走向智能论坛
27+阅读 · 2018年9月18日
收藏】等级保护测评 主机安全 三级 详解测评要求项、测评方法及测评步骤,测评判分标准:0分标准和满分标准
收藏】等级保护测评 主机安全 三级 详解测评要求项、测评方法及测评步骤,测评判分标准:0分标准和满分标准
黑白之道
34+阅读 · 2018年8月23日
吴恩达机器学习中文版笔记:异常检测(Anomaly Detection)
吴恩达机器学习中文版笔记:异常检测(Anomaly Detection)
大数据文摘
19+阅读 · 2018年4月29日
干货 | 人工智能如何帮助银行反欺诈:来看看关于银行智能欺诈风险预测模型的研究
干货 | 人工智能如何帮助银行反欺诈:来看看关于银行智能欺诈风险预测模型的研究
AI100
11+阅读 · 2017年11月17日
网络安全态势感知浅析
网络安全态势感知浅析
计算机与网络安全
18+阅读 · 2017年10月13日
相关论文
Secure Coding with AI -- From Detection to Repair
Arxiv
0+阅读 · 2月17日
An Empirical Study of the Imbalance Issue in Software Vulnerability Detection
Arxiv
0+阅读 · 2月12日
SecCodePRM: A Process Reward Model for Code Security
Arxiv
0+阅读 · 2月11日
LLMs + Security = Trouble
Arxiv
0+阅读 · 2月9日
Secure Code Generation via Online Reinforcement Learning with Vulnerability Reward Model
Arxiv
0+阅读 · 2月7日
Reading Between the Code Lines: On the Use of Self-Admitted Technical Debt for Security Analysis
Arxiv
0+阅读 · 2月3日
System Password Security: Attack and Defense Mechanisms
Arxiv
0+阅读 · 2月2日
Security Analysis of Web Applications Based on Gruyere
Arxiv
0+阅读 · 2月2日
AgenticSCR: An Autonomous Agentic Secure Code Review for Immature Vulnerabilities Detection
Arxiv
0+阅读 · 1月27日
Process-based Indicators of Vulnerability Re-Introducing Code Changes: An Exploratory Case Study
Arxiv
0+阅读 · 1月16日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
面向安全关键系统的时间可预测多核代码生成方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
网络空间安全关键技术研究
国家自然科学基金
20+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top