Sfide nell'uso dei LMs di codice per la rilevazione delle vulnerabilità
Esplorando problemi e soluzioni proposte per i modelli di linguaggio del codice nell'identificazione delle vulnerabilità software.
― 7 leggere min
Indice
- L'importanza di trovare vulnerabilità
- Problemi con i dataset esistenti
- Bassa qualità dei dati
- Bassa accuratezza delle etichette
- Alti tassi di duplicazione
- Problemi con i Metodi di Valutazione
- Necessità di migliori tecniche di etichettatura
- Introduzione di un nuovo dataset
- Tecniche di etichettatura migliorate
- Raccolta dati completa
- Nuove linee guida di valutazione
- Divisione cronologica dei dati
- Introduzione di una nuova metrica
- Approccio di valutazione a coppie
- Valutazione dei code LMs
- Discrepanza nelle performance
- Tentativi di migliorare le performance
- Class Weighting
- Contrastive Learning
- Esplorando modelli più grandi
- Conclusione
- Direzioni future
- Fonte originale
- Link di riferimento
Negli ultimi anni, c'è stato un crescente interesse nell'usare modelli di linguaggio di codice (code LMs) per scoprire Vulnerabilità nel codice software. I code LMs sono programmi avanzati addestrati per capire e generare codice, e i ricercatori credono possano aiutare a identificare problemi di sicurezza nel software in modo più efficace. Tuttavia, gli strumenti e i metodi attualmente disponibili per questo compito hanno alcune serie limitazioni. Questo articolo parla dei principali problemi con i metodi esistenti e propone un nuovo approccio per migliorare come rileviamo le vulnerabilità nel codice.
L'importanza di trovare vulnerabilità
Le vulnerabilità software possono portare a gravi problemi di sicurezza, rendendo essenziale identificarle prima che possano essere sfruttate. Con il software che diventa sempre più complesso, i metodi tradizionali per trovare vulnerabilità non bastano. I code LMs possono automatizzare alcuni di questi compiti, potenzialmente accelerando il processo e migliorando l'accuratezza nel rilevamento delle vulnerabilità.
Problemi con i dataset esistenti
Una delle principali sfide nell'usare i code LMs per il rilevamento delle vulnerabilità è la Qualità dei Dati su cui sono addestrati. I dataset attuali usati per l'addestramento spesso presentano difetti significativi:
Bassa qualità dei dati
Molti dataset esistenti soffrono di bassa qualità a causa di etichette imprecise e alti tassi di duplicazione. Fondamentalmente, se i dati usati per addestrare un modello sono difettosi, anche le previsioni del modello saranno probabilmente inaffidabili. Ad esempio, i dataset etichettati automaticamente possono classificare erroneamente codice benigno come vulnerabile o perdere completamente le vere vulnerabilità.
Bassa accuratezza delle etichette
L'accuratezza delle etichette si riferisce a quanto correttamente il codice nel dataset è identificato come vulnerabile o benigno. Studi mostrano che molti dataset hanno tassi di accuratezza delle etichette solo dal 25% al 60%. Questo significa che c'è una quantità considerevole di informazioni errate in questi dataset, che influisce direttamente su quanto bene i code LMs possono rilevare le vulnerabilità in scenari reali.
Alti tassi di duplicazione
La duplicazione nei dataset si verifica quando i stessi pezzi di codice vengono ripetuti. Questo può portare a una sensazione fuorviante di efficacia quando si valuta la performance di un modello, poiché potrebbe apparire che funzioni bene semplicemente perché ha già "visto" gli stessi problemi. In alcuni casi, fino al 18,9% dei campioni di test sono risultati duplicati di campioni di addestramento, compromettendo il processo di valutazione.
Problemi con i Metodi di Valutazione
I metodi usati per valutare quanto bene i code LMs rilevano le vulnerabilità hanno anche delle carenze. Molti studi si concentrano solo sull'accuratezza o sui punteggi F1, ma queste metriche non forniscono un quadro completo della capacità di un modello in situazioni reali. Ad esempio, un modello potrebbe ottenere un'alta accuratezza prevedendo che la maggior parte dei casi non sia vulnerabile, poiché le vulnerabilità sono relativamente rare in pratica. Questo non significa che lo strumento sia effettivamente efficace nel rilevare vere vulnerabilità.
Necessità di migliori tecniche di etichettatura
Per affrontare questi problemi, gli sviluppatori hanno bisogno di migliori tecniche di etichettatura che possano riflettere accuratamente lo stato reale delle vulnerabilità del codice. Le attuali tecniche di etichettatura automatica si basano troppo su assunzioni errate, portando a ulteriori imprecisioni nei dati etichettati. Una possibile soluzione è l'etichettatura manuale, che, sebbene più accurata, è laboriosa e non scalabile per dataset più grandi.
Introduzione di un nuovo dataset
Per combattere i difetti dei dataset esistenti, è stato proposto un nuovo dataset. Questo nuovo dataset mira a fornire dati etichettati di alta qualità per l'addestramento dei code LMs. Incorpora tecniche di etichettatura migliorate che si concentrano sulla verifica da parte umana, assicurando che le vulnerabilità etichettate siano il più accurate possibile.
Tecniche di etichettatura migliorate
Sono stati introdotti due nuovi metodi di etichettatura: OneFunc e NVDCheck. Questi metodi mirano a etichettare le funzioni in modo accurato basandosi sull'analisi degli esperti e sui riferimenti trovati nel National Vulnerability Database (NVD). L'obiettivo è ridurre il rumore delle etichette e migliorare la qualità complessiva del dataset.
Raccolta dati completa
Il nuovo dataset ha anche preso misure per unire dati da varie fonti mentre rimuove accuratamente i duplicati. In questo modo, assicura che ogni funzione venga considerata solo una volta, offrendo un insieme di dati di addestramento e test più realistico.
Nuove linee guida di valutazione
Con un nuovo dataset in atto, è cruciale stabilire linee guida di valutazione che riflettano meglio le performance nel mondo reale. L'obiettivo è fornire un framework che non solo misuri quanto bene i modelli riescono su un dato dataset, ma anche valuta la loro efficacia quando applicati a nuovi dati mai visti.
Divisione cronologica dei dati
Uno dei miglioramenti chiave nei metodi di valutazione è la divisione cronologica dei dati. Questo processo prevede di suddividere il dataset in base a quando il codice è stato inviato, permettendo ai modelli di essere addestrati su dati più vecchi e testati su codice più recente. Questo approccio mimica più da vicino le condizioni del mondo reale.
Introduzione di una nuova metrica
È stata introdotta una nuova metrica di performance, chiamata Vulnerability Detection Score (VD-S). Questo punteggio si concentra sul misurare quanto bene i modelli possono identificare vere vulnerabilità mantenendo un tasso di falsi positivi gestibile. L'idea è assicurarsi che i modelli non siano solo efficaci nel trovare vulnerabilità, ma lo facciano senza sopraffare gli sviluppatori con falsi allarmi.
Approccio di valutazione a coppie
È stato implementato anche un metodo di valutazione a coppie per esaminare quanto bene i modelli possono distinguere tra campioni di codice vulnerabili e benigni. Confrontando coppie di funzioni simili, i ricercatori possono valutare meglio la comprensione delle vulnerabilità da parte di un modello piuttosto che solo la sua capacità di riconoscere schemi testuali.
Valutazione dei code LMs
Il nuovo dataset e le linee guida di valutazione sono stati utilizzati per valutare vari code LMs esistenti. I risultati hanno evidenziato un significativo divario tra le performance di questi modelli e le esigenze reali per il rilevamento delle vulnerabilità.
Discrepanza nelle performance
Molti code LMs hanno mostrato scarse performance sul nuovo dataset rispetto alle valutazioni precedenti, rivelando che i risultati di benchmark precedenti erano eccessivamente ottimistici. Ad esempio, il modello all'avanguardia, StarCoder2, che in precedenza aveva mostrato un alto punteggio F1 su un altro dataset, ha performato male sul nuovo dataset.
Tentativi di migliorare le performance
Per comprendere meglio come migliorare i code LMs, i ricercatori hanno esplorato tecniche di addestramento avanzate, tra cui il class weighting e il contrastive learning. Tuttavia, questi sforzi non hanno portato a guadagni significativi nella performance.
Class Weighting
L'introduzione dei pesi delle classi mirava ad aiutare i modelli a gestire meglio il disequilibrio tra campioni vulnerabili e benigni. Sebbene questa tecnica abbia mostrato alcuni miglioramenti, non è stata sufficiente a colmare il divario nelle performance.
Contrastive Learning
Anche il contrastive learning è stato testato come metodo per migliorare le performance del modello. Questa tecnica incoraggia i modelli a differenziare campioni dissimili. Eppure, anche con questo approccio, i problemi sottostanti con le capacità dei modelli sono rimasti.
Esplorando modelli più grandi
I ricercatori hanno rivolto la loro attenzione a modelli di linguaggio più grandi, come GPT-3.5 e GPT-4, per vedere se la loro maggiore complessità avrebbe portato a miglior performance nel rilevare vulnerabilità. Anche se questi modelli hanno superato quelli più piccoli, continuano a lottare per fare previsioni accurate.
Conclusione
Lo studio dei code LMs per il rilevamento delle vulnerabilità rivela che i modelli attuali sono carenti nelle applicazioni del mondo reale. Nonostante vari tentativi di migliorare le loro performance attraverso dataset più affidabili e metodologie avanzate, questi modelli non hanno ancora raggiunto un livello di efficacia necessario per un impiego pratico.
Direzioni future
C'è bisogno di continuare la ricerca per sviluppare approcci fondamentalmente nuovi per addestrare i code LMs e valutare la loro efficacia. L'enfasi dovrebbe essere posta non solo sul migliorare i metodi esistenti, ma anche sull'esplorare tecniche innovative che migliorino realmente la capacità di questi modelli di comprendere e rilevare vulnerabilità software.
Titolo: Vulnerability Detection with Code Language Models: How Far Are We?
Estratto: In the context of the rising interest in code language models (code LMs) and vulnerability detection, we study the effectiveness of code LMs for detecting vulnerabilities. Our analysis reveals significant shortcomings in existing vulnerability datasets, including poor data quality, low label accuracy, and high duplication rates, leading to unreliable model performance in realistic vulnerability detection scenarios. Additionally, the evaluation methods used with these datasets are not representative of real-world vulnerability detection. To address these challenges, we introduce PrimeVul, a new dataset for training and evaluating code LMs for vulnerability detection. PrimeVul incorporates a novel set of data labeling techniques that achieve comparable label accuracy to human-verified benchmarks while significantly expanding the dataset. It also implements a rigorous data de-duplication and chronological data splitting strategy to mitigate data leakage issues, alongside introducing more realistic evaluation metrics and settings. This comprehensive approach aims to provide a more accurate assessment of code LMs' performance in real-world conditions. Evaluating code LMs on PrimeVul reveals that existing benchmarks significantly overestimate the performance of these models. For instance, a state-of-the-art 7B model scored 68.26% F1 on BigVul but only 3.09% F1 on PrimeVul. Attempts to improve performance through advanced training techniques and larger models like GPT-3.5 and GPT-4 were unsuccessful, with results akin to random guessing in the most stringent settings. These findings underscore the considerable gap between current capabilities and the practical requirements for deploying code LMs in security roles, highlighting the need for more innovative research in this domain.
Autori: Yangruibo Ding, Yanjun Fu, Omniyyah Ibrahim, Chawin Sitawarin, Xinyun Chen, Basel Alomair, David Wagner, Baishakhi Ray, Yizheng Chen
Ultimo aggiornamento: 2024-07-10 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2403.18624
Fonte PDF: https://arxiv.org/pdf/2403.18624
Licenza: https://creativecommons.org/licenses/by/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.
Link di riferimento
- https://github.com/qemu/qemu/commit/cd245a1
- https://github.com/qemu/qemu/commit/7d1b009
- https://github.com/qemu/qemu/commit/60fe637
- https://github.com/qemu/qemu/commit/b981289
- https://github.com/qemu/qemu/commit/c5a49c6
- https://github.com/qemu/qemu/commit/eefa3d8
- https://github.com/FFmpeg/FFmpeg/commit/073c259
- https://github.com/qemu/qemu/commit/71d0770
- https://github.com/qemu/qemu/commit/902b27d
- https://github.com/php/php-src/commit/3798eb6
- https://github.com/torvalds/linux/commit/6062a8d
- https://github.com/DLVulDet/PrimeVul
- https://huggingface.co/models