本研究は、GitHubのプロジェクトでコピロットが生成したコードスニペットを分析し、そのセキュリティ上の弱点を明らかにしたものである。
主な結果は以下の通り:
コピロットが生成した452のコードスニペットのうち、29.6%にセキュリティ上の弱点が存在していた。Pythonのコードスニペットではその割合が32.8%と高かった。
これらのセキュリティ上の弱点は38種類のCWE(Common Weakness Enumeration)に分類され、CWE-330(不十分な乱数値の使用)、CWE-94(コード生成制御の不備)、CWE-78(OSコマンド注入)が最も多く見られた。
38種類のCWEのうち、8つがMITRE CWE Top-25に含まれており、そのうち6つがStubborn Weaknessesに分類されている。これらは深刻なセキュリティ上の弱点であり、長年にわたって問題となり続けている。
本研究の結果から、開発者はコピロットが生成したコードを受け入れる際に、適切なセキュリティチェックを行う必要があることが示された。また、開発者はコピロットの使用に伴うセキュリティリスクに対する意識を高める必要がある。
翻译成其他语言
从原文生成
arxiv.org
更深入的查询