Patch-Locator:一种基于排序学习的开源软件漏洞补丁定位方法

日益增多的开源软件漏洞对软件安全带来了巨大的风险,补丁在应对这一风险的过程中扮演了非常重要的角色.不幸的是,尽管大部分漏洞的补丁在被披露前就已经开发完毕,但仅有部分补丁会随漏洞同步公开.现有的研究发现了漏洞与其补丁之间存在一定的相关性,并基于这些相关性特征对提交进行了排序,以定位漏洞的补丁,但仍旧存在漏洞数据部分缺失、定位准确率不佳等问题.本文提出了Patch-Locator,一种新的基于排序学习的补丁定位方法,通过扩展漏洞数据源对漏洞数据进行补充,并根据漏洞与补丁文本的相似性、漏洞产生的原因和导致的结果等更能反映漏洞与补丁间关联的因素提取了更具有针对性的相关性特征,并使用LambdaMart排序学习模型对提交基于其具有的相关性特征进行排序以定位安全补丁.本文用来自10个开源软件项目的1669个漏洞来评估Patch-Locator.实验结果表明,Patch-Locator的Recall@1指标为92.22%,Recall@5指标为95.51%,Manual Effort@5指标为1.2455,均优于现有方法.