Bringing Order Amidst Chaos: On the Role of Artificial Intelligence in Secure Software Engineering

要約

コンテクスト。
安全で信頼性の高いソフトウェアの開発は、依然としてソフトウェア エンジニアリング (SE) における重要な課題です。
進化し続けるテクノロジー環境は機会と脅威の両方をもたらし、混沌と秩序がせめぎ合うダイナミックな空間を生み出しています。
セキュア ソフトウェア エンジニアリング (SSE) は、ソフトウェア システムを危険にさらし、国の重要なインフラストラクチャを侵害し、重大な経済的損失を引き起こすなど、より広範な社会経済的リスクをもたらす脆弱性に継続的に対処する必要があります。
研究者や実務家は、これらの脆弱性を検出して軽減するために、静的アプリケーション セキュリティ テスト ツール (SASTT) や機械学習 (ML) や大規模言語モデル (LLM) を含む人工知能 (AI) アプローチなどの方法論を研究してきました。
各方法には独自の長所と制限があります。
標的。
この論文は、AI の精度に影響を与えるドメイン固有の違いに対処することで、SSE の混乱に秩序をもたらすことを目指しています。
方法論。
この研究では、労力を意識した指標の評価、SASTT の分析、メソッドレベルの分析の実施、系統的なデータセットレビューなどの証拠に基づく手法の活用など、経験的な戦略を組み合わせて採用しています。
これらのアプローチは、脆弱性予測データセットの特徴付けに役立ちます。
結果。
主な調査結果には、脆弱性を特定するための静的分析ツールの制限、脆弱性タイプの SASTT 対象範囲のギャップ、脆弱性重大度スコア間の弱い関係、ジャストインタイム モデリングを使用した欠陥予測精度の向上、および手付かずの手法によってもたらされる脅威が含まれます。
結論。
この論文では、SSE の複雑さと、AI 主導の脆弱性と欠陥予測を改善する上でのコンテキスト知識の重要性を強調しています。
包括的な分析により効果的な予測モデルが進歩し、研究者と実務者の両方に利益をもたらします。

要約(オリジナル)

Context. Developing secure and reliable software remains a key challenge in software engineering (SE). The ever-evolving technological landscape offers both opportunities and threats, creating a dynamic space where chaos and order compete. Secure software engineering (SSE) must continuously address vulnerabilities that endanger software systems and carry broader socio-economic risks, such as compromising critical national infrastructure and causing significant financial losses. Researchers and practitioners have explored methodologies like Static Application Security Testing Tools (SASTTs) and artificial intelligence (AI) approaches, including machine learning (ML) and large language models (LLMs), to detect and mitigate these vulnerabilities. Each method has unique strengths and limitations. Aim. This thesis seeks to bring order to the chaos in SSE by addressing domain-specific differences that impact AI accuracy. Methodology. The research employs a mix of empirical strategies, such as evaluating effort-aware metrics, analyzing SASTTs, conducting method-level analysis, and leveraging evidence-based techniques like systematic dataset reviews. These approaches help characterize vulnerability prediction datasets. Results. Key findings include limitations in static analysis tools for identifying vulnerabilities, gaps in SASTT coverage of vulnerability types, weak relationships among vulnerability severity scores, improved defect prediction accuracy using just-in-time modeling, and threats posed by untouched methods. Conclusions. This thesis highlights the complexity of SSE and the importance of contextual knowledge in improving AI-driven vulnerability and defect prediction. The comprehensive analysis advances effective prediction models, benefiting both researchers and practitioners.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google