计算机科学 > 密码学与安全
[提交于 2025年7月22日
]
标题: 重新审视预训练语言模型在漏洞检测中的应用
标题: Revisiting Pre-trained Language Models for Vulnerability Detection
摘要: 预训练语言模型(PLMs)的快速发展在各种代码相关任务中展示了有前景的结果。然而,它们在检测现实世界漏洞方面的能力仍然是一个关键挑战。% 对安全社区而言。虽然现有的实证研究评估了PLMs在漏洞检测(VD)中的表现,但它们在数据准备、评估设置和实验设置方面的考虑不足,削弱了评估的准确性和全面性。本文介绍了RevisitVD,这是对17个PLMs的广泛评估,涵盖了较小的代码专用PLMs和大规模PLMs,使用了新构建的数据集。具体来说,我们在微调和提示工程两种情况下比较了PLMs的性能,评估了它们在不同训练和测试设置下的有效性和泛化能力,并分析了它们对代码规范化、抽象和语义保留变换的鲁棒性。我们的研究结果表明,对于VD任务,包含旨在捕捉代码语法和语义模式的预训练任务的PLMs优于通用PLMs以及仅在大型代码语料库上预训练或微调的模型。然而,这些模型在现实场景中面临显著挑战,例如在检测具有复杂依赖关系的漏洞、处理由代码规范化和抽象引入的扰动以及识别语义保留的易受攻击代码变换方面存在困难。此外,由于PLMs有限的上下文窗口导致的截断可能会导致相当数量的标记错误。这项研究强调了在实际场景中对模型性能进行全面评估的重要性,并指出了未来的研究方向,以帮助提高PLMs在实际VD应用中的有效性。
收藏
文献和引用工具
与本文相关的代码,数据和媒体
alphaXiv (什么是 alphaXiv?)
CatalyzeX 代码查找器 (什么是 CatalyzeX?)
DagsHub (什么是 DagsHub?)
Gotit.pub (什么是 GotitPub?)
Hugging Face (什么是 Huggingface?)
带有代码的论文 (什么是带有代码的论文?)
ScienceCast (什么是 ScienceCast?)
演示
推荐器和搜索工具
arXivLabs:与社区合作伙伴的实验项目
arXivLabs 是一个框架,允许合作伙伴直接在我们的网站上开发和分享新的 arXiv 特性。
与 arXivLabs 合作的个人和组织都接受了我们的价值观,即开放、社区、卓越和用户数据隐私。arXiv 承诺这些价值观,并且只与遵守这些价值观的合作伙伴合作。
有一个为 arXiv 社区增加价值的项目想法吗? 了解更多关于 arXivLabs 的信息.