|
摘要: 在软件系统的长期负面影响方面,识别和解决开发生命周期早期阶段的安全问题至关重要。代码审查作为一种有效的实践,使开发人员能够在将其团队成员的代码集成到代码库之前检查其代码。为了简化审查评论的生成过程,提出了各种自动化代码审查方法,其中基于LLM的方法显著提升了自动生成审查的能力。然而,现有模型主要关注通用代码审查,在识别和解决安全相关问题方面的有效性尚未得到充分挖掘。此外,将现有代码审查方法调整为针对安全问题面临着重大挑战,包括数据稀缺和不足的评估指标。为了解决这些限制,我们提出了SecureReviewer,这是一种旨在增强LLM在代码审查过程中识别和解决安全相关问题能力的新方法。具体而言,我们首先构建了一个专为训练和评估安全代码审查能力而定制的数据集。利用这个数据集,我们通过我们提出的安全感知微调策略微调LLM,以生成能够有效识别安全问题并提供修复建议的代码审查评论。为了减少LLM中的幻觉并增强其输出的可靠性,我们集成了RAG技术,将生成的评论与领域特定的安全知识联系起来。此外,我们引入了SecureBLEU,一种新的评估指标,旨在评估评论在解决安全问题方面的有效性。实验结果表明,SecureReviewer在安全问题检测准确性以及生成的审查评论的整体质量和实用性方面均优于现有基线。 更新时间: 2025-10-30 13:06:11 领域: cs.SE,cs.AI,cs.CL
| 
|Archiver|手机版|小黑屋|Octave中文网学术交流论坛
( 黑ICP备2024030411号-2 )
发表于 2025-11-2 19:07:47