A Cross-Project Security Bug Report Prediction Method Based on Knowledge Graph

• 论文下载地址: 下载链接
• 作者: 郑炜 (Wei Zheng), 刘程远 (Chengyuan Liu), 吴潇雪 (Xiaoxue Wu), 陈翔 (Xiang Chen)
• Affiliation: 西北工业大学,扬州大学
• 发表: 软件学报
• 发表年份: 2023年
• 关键词: 软件安全缺陷报告预测 (Software Security Bug Report Prediction), 知识图谱 (Knowledge Graph), 跨项目 (Cross-Project), 实体识别 (Entity Recognition)

摘要

本文介绍了一种基于知识图谱的跨项目安全缺陷报告预测方法（KG-SBRP），旨在提高软件安全性。跨项目安全缺陷报告预测变得越来越重要，因为软件规模扩大和安全漏洞的增加。本研究首先介绍了项目内预测和跨项目预测的方法，并强调了跨项目预测在新项目缺乏足够数据时的重要性。随后，研究重点放在了构建软件安全漏洞知识图谱上，以处理缺陷报告的语义信息。知识图谱的构建涉及实体标记、关系规则建立和知识图谱构建等多个阶段。实验设计包括使用多个数据集进行性能评估，并与已有方法进行对比，结果表明KG-SBRP方法在跨项目安全缺陷报告预测方面略优于其他方法。最后，文章讨论了方法的内部和外部有效性，以及未来的研究方向。

创新点与借鉴点

这篇文章提出了一种基于知识图谱的跨项目安全缺陷报告预测方法：通过构建通用软件安全漏洞知识图谱，解决了项目内数据不足的问题，提高了预测性能。利用知识图谱中的实体和规则匹配来识别安全缺陷报告，在处理复杂的数据关联分析方面具有优势。 引入了知识图谱的概念，将其应用于安全缺陷报告预测领域，为解决项目间数据不足问题提供了一种新的思路。 通过对比实验验证了基于知识图谱的方法在跨项目安全缺陷报告预测方面的优势，为后续研究提供了借鉴和参考。

总结

• (1): 本文研究背景是跨项目安全缺陷报告的预测，这在不同领域中具有广泛的应用。随着软件规模的扩大和安全漏洞的增加，准确预测安全漏洞变得至关重要。
• (2): 过去的方法主要集中在项目内预测，存在数据不足的问题。本文提出了一种基于知识图谱的方法，通过构建通用软件安全漏洞知识图谱，解决了项目内数据不足的问题，提高了预测性能。
• (3): 本文的研究方法是构建软件安全漏洞知识图谱，利用知识图谱中的实体和规则匹配来识别安全缺陷报告。知识图谱提供了丰富的领域知识，使预测更加准确。
• (4): 本文方法在多个数据集上进行实验，与传统方法和深度学习方法进行对比，结果显示本文方法在跨项目安全缺陷报告预测性能上表现优越，支持其研究目标。