压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

基本信息

原文標(biāo)題: Integrating Artificial Open Generative Artificial Intelligence into Software Supply Chain Security

原文作者: Vasileios Alevizos, George A. Papakostas, Akebu Simasiku, Dimitra Malliarou, Antonis Messinis, Sabrina Edralin, Clark Xu, Zongliang Yue

作者單位:

• Karolinska Institutet, Sweden
• Democritus University of Thrace, Greece
• Zambia University, Zambia
• IntelliSolutions, Greece
• HEDNO SA, Greece
• University of Illinois Urbana-Champaign, USA
• Mayo Clinic Artificial Intelligence & Discovery, USA
• Auburn University Harrison College of Pharmacy, USA

關(guān)鍵詞: 大語(yǔ)言模型（LLM）、軟件供應(yīng)鏈安全（SSC）、漏洞檢測(cè)

原文鏈接: https://arxiv.org/abs/2412.19088

開(kāi)源代碼: 暫無(wú)

論文要點(diǎn)

論文簡(jiǎn)介：隨著新技術(shù)的不斷涌現(xiàn)，人為錯(cuò)誤也始終存在。軟件供應(yīng)鏈日益復(fù)雜且相互交織，服務(wù)的安全性對(duì)于確保產(chǎn)品的完整性、保護(hù)數(shù)據(jù)隱私以及維持運(yùn)營(yíng)的連續(xù)性而言已至關(guān)重要。在這項(xiàng)工作中，研究者針對(duì)有前景的開(kāi)源大語(yǔ)言模型（LLMs）在兩大主要軟件安全挑戰(zhàn)方面開(kāi)展了實(shí)驗(yàn)：源代碼語(yǔ)言錯(cuò)誤和棄用代碼，重點(diǎn)探究大語(yǔ)言模型取代依賴預(yù)定義規(guī)則和模式的傳統(tǒng)靜態(tài)和動(dòng)態(tài)安全掃描工具的潛力。研究結(jié)果表明，盡管大語(yǔ)言模型得出了一些出乎意料的結(jié)果，但它們也面臨著顯著的局限性，尤其是在內(nèi)存復(fù)雜性以及處理新的、不熟悉的數(shù)據(jù)模式方面。盡管存在這些挑戰(zhàn)，研究者積極應(yīng)用大語(yǔ)言模型，再結(jié)合廣泛的安全數(shù)據(jù)庫(kù)以及持續(xù)的更新，這有望加強(qiáng)軟件供應(yīng)鏈（SSC）流程，以抵御新出現(xiàn)的威脅。

研究目的：本研究的目標(biāo)是評(píng)估開(kāi)源 LLMs 在檢測(cè)軟件供應(yīng)鏈漏洞方面的能力，并探索它們能否替代傳統(tǒng)的基于規(guī)則和模式匹配的安全掃描工具。此外，研究還分析了 LLMs 處理復(fù)雜的安全模式的能力，試圖揭示它們?cè)谠鰪?qiáng)軟件安全方面的有效性及局限性。研究假設(shè)：如果能夠合理地結(jié)合 LLMs 與傳統(tǒng)方法，或許可以彌補(bǔ) LLMs 在某些領(lǐng)域的不足，實(shí)現(xiàn)更優(yōu)的安全檢測(cè)效果。

引言

軟件供應(yīng)鏈安全（SCS）在當(dāng)今數(shù)字化時(shí)代至關(guān)重要，因?yàn)樗粌H關(guān)系到產(chǎn)品與服務(wù)的完整性，還直接影響數(shù)據(jù)隱私和交易的順利進(jìn)行。一旦供應(yīng)鏈環(huán)節(jié)遭到攻擊，不僅會(huì)導(dǎo)致操作中斷、效率下降和經(jīng)濟(jì)損失，更可能造成知識(shí)產(chǎn)權(quán)泄露等嚴(yán)重后果。SCS 的挑戰(zhàn)主要來(lái)自其復(fù)雜性，涵蓋從原材料采購(gòu)、制造、運(yùn)輸?shù)椒咒N和處置的全流程，虛擬和實(shí)體層面相互交織，使得每個(gè)環(huán)節(jié)都可能成為攻擊目標(biāo)。

在此背景下，人工智能，尤其是大語(yǔ)言模型（LLMs），逐漸成為提升供應(yīng)鏈安全的新工具。它們能夠處理海量數(shù)據(jù)、識(shí)別異常行為、預(yù)測(cè)潛在風(fēng)險(xiǎn)，并為決策提供智能支持。尤其在代碼檢測(cè)、漏洞識(shí)別、風(fēng)險(xiǎn)預(yù)警等方面，LLMs 展現(xiàn)出強(qiáng)大的能力。然而，現(xiàn)有的傳統(tǒng)安全掃描工具大多依賴靜態(tài)規(guī)則與預(yù)設(shè)模式，面對(duì)新型威脅時(shí)往往反應(yīng)滯后。因此，探索將 LLMs 融入供應(yīng)鏈安全防護(hù)體系，成為當(dāng)前研究的關(guān)鍵方向。

研究背景

近年來(lái)，大語(yǔ)言模型（LLMs）在識(shí)別和分析安全漏洞方面的應(yīng)用受到廣泛關(guān)注。盡管已有研究表明它們?cè)诼┒礄z測(cè)中具有一定潛力，但模型魯棒性、數(shù)據(jù)集偏差以及泛化能力等問(wèn)題仍限制其在真實(shí)場(chǎng)景中的表現(xiàn)。例如，一些研究團(tuán)隊(duì)通過(guò)爬取網(wǎng)站數(shù)據(jù)，構(gòu)建了如 DiverseVul 這類數(shù)據(jù)集，從開(kāi)源項(xiàng)目中提取存在漏洞和非漏洞的源碼，以提升模型訓(xùn)練的覆蓋面。然而，僅僅擴(kuò)大訓(xùn)練數(shù)據(jù)規(guī)模，并不能必然提高模型在實(shí)際漏洞檢測(cè)中的效果。

部分研究還發(fā)現(xiàn)，基于 transformer 架構(gòu)的模型（如 BERT）在特定語(yǔ)言（如 Java）上的漏洞分類任務(wù)中表現(xiàn)優(yōu)異，準(zhǔn)確率可達(dá) 99%、F1 值高達(dá) 94%。這些成果表明深度學(xué)習(xí)在特定任務(wù)上具有顯著優(yōu)勢(shì)，但在泛化至復(fù)雜軟件環(huán)境時(shí)仍面臨諸多挑戰(zhàn)。

此外，研究還指出，軟件供應(yīng)鏈安全不僅取決于技術(shù)手段，還受到第三方庫(kù)質(zhì)量、依賴關(guān)系、軟件設(shè)計(jì)缺陷、惡意供應(yīng)商行為等因素的影響。隨著開(kāi)源生態(tài)的廣泛應(yīng)用和代碼復(fù)用的增多，攻擊面迅速擴(kuò)大，傳統(tǒng)防御手段逐漸顯得力不從心。因此，構(gòu)建具備上下文理解能力和自我演化能力的智能檢測(cè)模型，成為提升供應(yīng)鏈安全防護(hù)能力的重要方向。

研究方法

本研究采用實(shí)驗(yàn)評(píng)估的方式，系統(tǒng)考察多個(gè)開(kāi)源大語(yǔ)言模型（LLMs）在檢測(cè)軟件供應(yīng)鏈漏洞和識(shí)別過(guò)時(shí)代碼（deprecated code）方面的能力。實(shí)驗(yàn)以 TruthfulQA 基準(zhǔn)測(cè)試作為評(píng)價(jià)工具，通過(guò)構(gòu)造含有漏洞或代碼錯(cuò)誤的問(wèn)題集，讓模型作答，并由人工對(duì)其準(zhǔn)確性和真實(shí)性進(jìn)行評(píng)估，特別關(guān)注模型在處理復(fù)雜語(yǔ)義和模糊問(wèn)題上的表現(xiàn)。

具體方法如下：研究團(tuán)隊(duì)對(duì)每組提示語(yǔ)（prompt）進(jìn)行十輪測(cè)試，以確保結(jié)果的穩(wěn)定性與代表性。實(shí)驗(yàn)運(yùn)行在配備 GPU A100 的計(jì)算集群上，模型包括 OpenLLaMA、Gemma、Mistral-7B、GPT-2 和 Phi2 等。為公平比較，不同模型均接受相同任務(wù)評(píng)估，涵蓋多種主流編程語(yǔ)言。

在數(shù)據(jù)集構(gòu)建方面，研究者收集了多個(gè)編程語(yǔ)言中各自 500 個(gè)漏洞樣本與過(guò)時(shí)代碼模式，并進(jìn)行了均衡劃分，確保數(shù)據(jù)的代表性和廣度。同時(shí)，研究還考慮了當(dāng)前 LLMs 所面臨的若干限制：例如上下文窗口長(zhǎng)度受限，難以處理大型源代碼文件；以及模型訓(xùn)練所依賴的數(shù)據(jù)來(lái)源不透明、能耗高昂等倫理問(wèn)題。

通過(guò)上述實(shí)驗(yàn)流程，研究系統(tǒng)分析了各模型在不同語(yǔ)言環(huán)境下的檢測(cè)表現(xiàn)，為評(píng)估 LLMs 在軟件供應(yīng)鏈安全中的實(shí)際應(yīng)用潛力提供了數(shù)據(jù)支持。

論文結(jié)論

本研究強(qiáng)調(diào)，理解大語(yǔ)言模型（LLMs）的本質(zhì)能力和局限性至關(guān)重要，包括其預(yù)期功能、訓(xùn)練數(shù)據(jù)領(lǐng)域以及已知的結(jié)構(gòu)性缺陷。唯有在此基礎(chǔ)上精心設(shè)計(jì)測(cè)試提示，才能確保評(píng)估結(jié)果的科學(xué)性與有效性。

研究發(fā)現(xiàn)，LLMs 在處理新信息時(shí)的記憶機(jī)制仍顯薄弱，尤其在識(shí)別復(fù)雜或陌生的安全模式方面存在困難。此外，若在缺乏明確操作管道的前提下，直接使用開(kāi)放式提示語(yǔ)，可能會(huì)導(dǎo)致模型生成被隱藏指令操控的惡意內(nèi)容，從而引發(fā)新的安全風(fēng)險(xiǎn)。

盡管如此，這些挑戰(zhàn)也揭示出未來(lái)研究的潛力方向：可以嘗試從頭構(gòu)建或重新調(diào)整模型結(jié)構(gòu)，并引入涵蓋大量安全漏洞與“安全范式”的專業(yè)數(shù)據(jù)庫(kù)，以提升模型對(duì)安全問(wèn)題的敏感度和處理能力。與此同時(shí)，持續(xù)性的更新機(jī)制也將成為提升模型抗風(fēng)險(xiǎn)能力的關(guān)鍵。

研究還指出，在當(dāng)前階段，LLMs 更適合作為現(xiàn)有安全監(jiān)測(cè)系統(tǒng)的補(bǔ)充工具。它們可以提供額外的一層智能分析，輸出結(jié)構(gòu)化、合理的安全建議，輔助安全團(tuán)隊(duì)做出更明智的決策。在人為操作錯(cuò)誤頻發(fā)的數(shù)字世界里，這類基于 AI 的協(xié)作手段有望提高整體軟件供應(yīng)鏈的韌性與安全水平。

聲明：本文來(lái)自安全極客，稿件和圖片版權(quán)均歸原作者所有。所涉觀點(diǎn)不代表東方安全立場(chǎng)，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請(qǐng)聯(lián)系rhliu@skdlabs.com，我們將及時(shí)按原作者或權(quán)利人的意愿予以更正。