講演情報
[2L1-GS-10t-06]End-to-End CWE-Autofix に向けて:リポジトリセキュリティ修復のためのSARIF駆動型LLMパイプライン
〇長屋 茂喜1 (1. ニューラルグループ株式会社)
[[オンライン]]
キーワード:
Static Application Security Testing、LLM as a Judgemet、Common Weakness Enumerate、AI Security、OWASP Top10 for LLM
近年の大規模言語モデル(LLM)の進展により、ソースコードの脆弱性検出と修復の自動化が可能になりつつある。しかし、既存研究は孤立したコードスニペットでの評価が主であり、産業界のAutofixシステムはリポジトリ規模で動作するがプロプライエタリであるため、セキュリティ脆弱性に対するオープンで再現可能なエンドツーエンドのAutofixアーキテクチャが不足している。
本論文では、リポジトリ規模の脆弱性解析、自動修復、プルリクエスト生成を行うSARIF駆動型LLM Autofixパイプラインの初期経験を報告する。本システムは、LLMベースのセキュリティレビューによりSARIF脆弱性レポートを生成し、ソースファイルへ自動修正を適用し、追跡可能なプルリクエストを生成する。さらに、構造化された脆弱性コンテキストとコード比較を用いたLLM-as-a-Judge検証の統合を検討する。
本経験は、完全にLLM駆動のAutofixワークフローの実現可能性を示すとともに、相関したモデル誤りやJudge独立性の課題といった利点と限界を明らかにする。また、再現可能なセキュリティAutofix研究への示唆と将来的な体系的評価の方向性を議論する
本論文では、リポジトリ規模の脆弱性解析、自動修復、プルリクエスト生成を行うSARIF駆動型LLM Autofixパイプラインの初期経験を報告する。本システムは、LLMベースのセキュリティレビューによりSARIF脆弱性レポートを生成し、ソースファイルへ自動修正を適用し、追跡可能なプルリクエストを生成する。さらに、構造化された脆弱性コンテキストとコード比較を用いたLLM-as-a-Judge検証の統合を検討する。
本経験は、完全にLLM駆動のAutofixワークフローの実現可能性を示すとともに、相関したモデル誤りやJudge独立性の課題といった利点と限界を明らかにする。また、再現可能なセキュリティAutofix研究への示唆と将来的な体系的評価の方向性を議論する
コメント
コメントの閲覧・投稿にはログインが必要です。ログイン