Dưới đây là tóm tắt các điểm chính từ nội dung của tài liệu:
- Mục đích nghiên cứu:
- Nghiên cứu tìm hiểu khả năng sử dụng các Mô hình Ngôn ngữ Lớn (LLMs) để tăng cường bảo mật phần mềm thông qua việc phát hiện lỗ hổng tự động trong quy trình kiểm tra mã.
- Tầm quan trọng của vấn đề:
- Các phương pháp kiểm tra mã hiện tại, dù đã có quy trình thiết lập, nhưng vẫn bỏ sót các lỗ hổng nghiêm trọng, đặc biệt nếu người kiểm tra thiếu chuyên môn về bảo mật.
- Phương pháp nghiên cứu:
- Tập trung vào ba dự án mã nguồn mở nổi tiếng (Django, Log4j và Sudo), phân tích các lỗ hổng bảo mật đã biết (SQL Injection, Buffer Overflow, Remote Code Execution).
- Sử dụng các LLM như GitHub Copilot, Google Gemini, và Claude với ba loại lệnh nhắc nhở (tổng quát, tập trung bảo mật, cụ thể cho lỗ hổng).
- Kết quả chính:
- Các mô hình LLM thể hiện khả năng vượt trội trong việc phát hiện lỗ hổng bảo mật, đặc biệt với các lỗ hổng phổ biến và có tài liệu rộng rãi.
- LLM có thể cải thiện độ chính xác khi áp dụng các chiến lược nhắc nhở phù hợp và tăng hiệu quả làm việc của đội ngũ kiểm tra mã.
- Thách thức tích hợp:
- Đòi hỏi sự cân bằng giữa kiểm tra tự động với quy trình thủ công.
- Cần thiết lập quy trình nhắc nhở phù hợp theo từng ngôn ngữ và ngữ cảnh cụ thể.
- Khuyến nghị:
- Tích hợp các công cụ LLM vào quy trình kiểm tra bảo mật hiện tại có tiềm năng cải thiện đáng kể năng suất và phát hiện lỗ hổng.