VulGuard：一种用于评估即时漏洞预测模型的统一工具-计算机科学-即时漏洞预测-自动化工具-软件开发.pdf

VulGuard：一种用于评估即时漏洞预测模型

的统一工具

DuongNguyen,ManhTran-Duc,ThanhLe-Cong,TrietHuynhMinhLe,M.AliBabar,Quyet-ThangHuynh

SchoolofCommunicationandInformationTechnology,HanoiUniversityofScienceandTechnology,Hanoi,Vietnam

{duong.nd215336,manh.td194616}@.vn,thang.huynhquyet@.vn

SchoolofComputingandInformationSystems,TheUniversityofMelbourne,Melbourne,Australia

congthanh.le@.au

SchoolofComputerandMathematicalSciences,TheUniversityofAdelaide,Adelaide,Australia

{triet.h.le,ali.babar}@.au

本

译摘要—我们介绍了VulGuard，一个旨在简化从GitHub尽管即时漏洞预测（JIT-VP）取得了显著进展[3],

中仓库中提取、处理和分析提交记录以进行即时漏洞预测（JIT-[4],[5],实际应用仍然有限。主要障碍在于数据整理的

1VP）研究的自动化工具。VulGuard自动挖掘提交历史，提取细复杂性：从异构且不断演化的软件仓库中提取、清洗和

v粒度代码变更、提交消息和软件工程指标，并将它们格式化以便

5后续分析。此外，它集成了多种最先进的漏洞预测模型，允许研预处理提交内容通常是特定于仓库的、容易出错且劳动

8究人员在几乎无需设置的情况下训练、评估和比较这些模型。通密集型的任务。这一挑战导致了实验规模缩小以及模型

6

6过在一个统一框架内支持仓库级挖掘和模型级实验，VulGuard评估不一致[6]。此外，现有的研究很少解决与现代开

1.解决了软件安全研究中的可重复性和扩展性问题。VulGuard发工作流程的整合问题，从而阻碍了向开发者提供可操

7还可以轻松集成到CI/CD管道中。我们在两个有影响力的开源作反馈，并限制了学术模型的实际效用[7]。为了弥合

0

5项目，FFmpeg和Linux内核中展示了该工具的有效性，突显这一差距，需要一个统一的工具来简化从数据收集和预

2了其加速实际JIT-VP研究并促进标准化基准测试的潜力。演

:处理到模型训练和评估的整个JIT-VP流水线，同时支

v示视频可在以下位置获取：https://youtu.be/j96096-pxbs。

i持无缝集成到现实世界的开发环境中。

x

rI.介绍

a为了解决这些挑战，我们引入了VulGuard，一个

软件漏洞对软件系统的可靠性、安全性和功能造成用于评估JIT-VP技术的统一工具。该工具已被用于我

了不可忽视的负面影响，导致用户和公司遭受严重损们在2025年ICSME会议上被接受的关于JIT-VP的经

失。值得一提的是2024年CrowdStrike系统中断事件，验研究中[7]。VulGuard提供三大主要功能：（1）数据

预期字段与实际输入之间的不匹配引发了一系列系统集构建，（2）模型训练，以及（3）模型评估。对于数据

故障，影响了数百万设备并扰乱了全球的关键服务[1],集构建，我们的工具设计用于从提交中提取各种特征，

[2]。这一事件突显了部署后发现的漏洞所带来的重大财如专家特征[3],[8]，属性图[4]，消