G.O.S.S.I.P 阅读推荐 2024-10-16 LLM帮你理解安全补丁

文章预览

我们今天介绍的这篇论文 Pairing Security Advisories with Vulnerable Functions Using Open-Source LLMs 来自2024年的DIMVA会议，论文介绍的研究工作正是现在风头正劲的AI for Security中的一项具体的应用：利用LLM来帮助确定代码补丁中到底哪些函数直接和安全漏洞相关。 简单介绍一下研究背景：在软件代码安全分析里面，安全补丁（security patch）是一个非常有价值的对象，厂家只要发布了补丁，大家就知道肯定有安全漏洞被修复了，然后就赶紧去分析补丁，找到问题。但是这个过程是一个高度依赖人工介入的labour work，目前能够比较自动化的分析思路仅限于通过代码比对（比较patch前和patch后的代码），找到所有改动过的函数，然后把这些函数视为有问题的函数。但现实中并不是所有改动过的函数都是有安全问题的，实际上针对一些数据集的人工调查表明，在安全补丁涉 ………………………………