Vulnerability Prediction and Assessment Using Software Product Metrics and Machine Learning: What Does Not Work

Sonnekalb, Tim und Madera Castro, Celestino und Gruner, Bernd und Brust, Clemens-Alexander und Amme, Wolfram (2024) Vulnerability Prediction and Assessment Using Software Product Metrics and Machine Learning: What Does Not Work. In: 2024 IEEE 24th International Conference on Software Quality, Reliability, and Security Companion (QRS-C), Seiten 1123-1127. IEEE. 2024 IEEE 24th International Conference on Software Quality, Reliability, and Security, 2024-07-01 - 2024-07-05, Cambridge, United Kingdom. doi: 10.1109/QRS-C63300.2024.00148. ISBN 979-8-3503-6565-8. ISSN 2693-9371.

PDF - Nur DLR-intern zugänglich
416kB

Kurzfassung

Software metrics can help developers improve their written code by providing an overview of already written code. In the long term, they can thus help increase the software's quality. There are a variety of metrics and tools that calculate them. This study aims to determine whether they can also be used to make statements about software security, particularly to predict the number of vulnerabilities present. We use the CVEfixes dataset, a recent version of the CVE database, extract the corresponding code with and without vulnerabilities and calculate the software metrics using Understand and Analizo tools. Based on these metrics, we try to predict the presence of a vulnerability or its severity using a neural network. Unfortunately, the network was not able to make any meaningful predictions from the metrics, so we are looking for causes of what can be improved in this context. We want to highlight issues that arise when calculating software metrics in open-source software.

elib-URL des Eintrags:

https://elib.dlr.de/210141/

Dokumentart:

Konferenzbeitrag (Vortrag)

Titel:

Vulnerability Prediction and Assessment Using Software Product Metrics and Machine Learning: What Does Not Work

Autoren:

Autoren	Institution oder E-Mail-Adresse	Autoren-ORCID-iD	ORCID Put Code
Sonnekalb, Tim	Tim.Sonnekalb (at) dlr.de	https://orcid.org/0000-0002-0067-1790	NICHT SPEZIFIZIERT
Madera Castro, Celestino	celestino.maderacastro (at) dlr.de	NICHT SPEZIFIZIERT	NICHT SPEZIFIZIERT
Gruner, Bernd	Bernd.Gruner (at) dlr.de	https://orcid.org/0000-0002-4177-2993	174100532
Brust, Clemens-Alexander	clemens-alexander.brust (at) dlr.de	https://orcid.org/0000-0001-5419-1998	174100533
Amme, Wolfram	wolfram.amme (at) uni-jena.de	NICHT SPEZIFIZIERT	NICHT SPEZIFIZIERT

Datum:

29 Oktober 2024

Erschienen in:

2024 IEEE 24th International Conference on Software Quality, Reliability, and Security Companion (QRS-C)

Referierte Publikation:

Open Access:

Nein

Gold Open Access:

Nein

In SCOPUS:

Nein

In ISI Web of Science:

Nein

DOI:

10.1109/QRS-C63300.2024.00148

Seitenbereich:

Seiten 1123-1127

Verlag:

IEEE

ISSN:

2693-9371

ISBN:

979-8-3503-6565-8

Status:

veröffentlicht

Stichwörter:

vulnerability prediction, software product metrics, machine learning

Veranstaltungstitel:

2024 IEEE 24th International Conference on Software Quality, Reliability, and Security

Veranstaltungsort:

Cambridge, United Kingdom

Veranstaltungsart:

internationale Konferenz

Veranstaltungsbeginn:

1 Juli 2024

Veranstaltungsende:

5 Juli 2024

HGF - Forschungsbereich:

Luftfahrt, Raumfahrt und Verkehr

HGF - Programm:

Raumfahrt

HGF - Programmthema:

Technik für Raumfahrtsysteme

DLR - Schwerpunkt:

Raumfahrt

DLR - Forschungsgebiet:

R SY - Technik für Raumfahrtsysteme

DLR - Teilgebiet (Projekt, Vorhaben):

R - Sichere Softwaretechnik

Standort:

Jena

Institute & Einrichtungen:

Institut für Datenwissenschaften > Datengewinnung und -mobilisierung

Hinterlegt von:

Sonnekalb, Tim

Hinterlegt am:

19 Dez 2024 10:59

Letzte Änderung:

19 Dez 2024 10:59

Nur für Mitarbeiter des Archivs: Kontrollseite des Eintrags