QLPro: Automated Code Vulnerability Discovery via LLM and Static Code Analysis Integration
Created by
Haebom
저자
Junze Hu, Xiangyu Jin, Yizhe Zeng, Yuling Liu, Yunpeng Li, Dan Du, Kaiyu Xie, Hongsong Zhu
개요
QLPro는 대규모 언어 모델(LLM)과 정적 분석 도구를 체계적으로 통합하여 오픈소스 프로젝트 전체에 걸쳐 포괄적인 취약점 탐지를 가능하게 하는 새로운 취약점 탐지 프레임워크입니다. GitHub의 10개 오픈소스 프로젝트(62개의 확인된 취약점 포함)로 구성된 새로운 데이터셋 JavaTest를 사용하여 평가한 결과, 최첨단 정적 분석 도구인 CodeQL은 24개의 취약점만을 탐지한 반면, QLPro는 41개의 취약점을 탐지했습니다. 뿐만 아니라 QLPro는 기존에 알려지지 않은 6개의 취약점을 발견했으며, 그 중 2개는 0-day 취약점으로 확인되었습니다.
시사점, 한계점
•
시사점:
◦
LLM과 정적 분석 도구의 통합을 통해 기존 도구보다 더 많은 취약점을 효과적으로 탐지할 수 있음을 보여줌.
◦
0-day 취약점을 포함한 기존에 알려지지 않은 취약점 발견 가능성 제시.
◦
오픈소스 프로젝트의 보안 강화에 기여할 수 있는 새로운 프레임워크 제공.
•
한계점:
◦
JavaTest 데이터셋의 규모가 상대적으로 작음.
◦
QLPro의 성능이 다른 프로그래밍 언어나 프로젝트 유형에서도 유사하게 유지될지는 추가 연구 필요.
