BEGIN:VCALENDAR
VERSION:2.0
PRODID:-//Departamento de Computación - ECPv6.15.18//NONSGML v1.0//EN
CALSCALE:GREGORIAN
METHOD:PUBLISH
X-WR-CALNAME:Departamento de Computación
X-ORIGINAL-URL:https://www.dc.uba.ar
X-WR-CALDESC:Eventos para Departamento de Computación
REFRESH-INTERVAL;VALUE=DURATION:PT1H
X-Robots-Tag:noindex
X-PUBLISHED-TTL:PT1H
BEGIN:VTIMEZONE
TZID:America/Sao_Paulo
BEGIN:STANDARD
TZOFFSETFROM:-0300
TZOFFSETTO:-0300
TZNAME:-03
DTSTART:20230101T000000
END:STANDARD
END:VTIMEZONE
BEGIN:VEVENT
DTSTART;TZID=America/Sao_Paulo:20240410T163000
DTEND;TZID=America/Sao_Paulo:20240410T173000
DTSTAMP:20260403T150135
CREATED:20240403T180304Z
LAST-MODIFIED:20240403T180304Z
UID:9030-1712766600-1712770200@www.dc.uba.ar
SUMMARY:Defensa Tesis Licenciatura David Venegas
DESCRIPTION:Título: «Modelado de funciones propagadoras para taint tracking con CodeQL y GPT-4: una aproximación experimental» \nDirector: Víctor Braberman\nDirector adjunto: Iván Postolski\nJurados: Diego Garbervetsky\, Rodolfo Baader\n\nResumen\n———————-\n\n\nEn el análisis estático de programas\, el taint tracking se utiliza para detectar vulnerabilidades relacionadas con el flujo de inputs no sanitizados\, como lo son las inyecciones de código. CodeQL es una herramienta de data-flow analysis que convierte el código fuente en una base de datos para detectar vulnerabilidades utilizando queries\, sin embargo\, su eficacia es limitada al utilizar métodos de APIs no contempladas en estas reglas. Este desafío se resuelve agregando modelos que extiendan las queries y especifiquen cómo fluye la información a través de sus parámetros. El proceso de modelado\, que identifica las funciones propagadoras\, requiere conocimientos especializados en CodeQL y seguridad informática\, así como un entendimiento del dominio del problema y el código en cuestión por lo que resulta en una tarea costosa que debe ser abordada por un experto en el área.\n\nEsta tesis estudia si el rol de un humano en el modelado de estas funciones propagadoras puede ser relegado a un modelo de lenguaje (GPT-4). Primero\, se propone una taxonomía de los subproblemas del modelado y los distintos tipos de variaciones de información contextual a los que se enfrenta un experto. Adicionalmente\, se identifican las competencias que caracterizan a dicho experto. Luego\, se analizan estrategias de prompt engineering adecuadas y se recopilan casos relevantes creados por la comunidad para ser utilizados como oráculo. La evaluación empírica muestra que las capacidades de las LLMs aún no alcanzan las de un experto en ciberseguridad\, sin embargo\, a pesar de las limitaciones de esta técnica\, como un contexto de prompting acotado y la falta de garantías teóricas de utilizar IA\, se obtuvo un set de casos donde es viable usar al agente. Además\, se establecen las bases para futuras investigaciones que extiendan el rol de las LLMs en la detección de vulnerabilidades en el código fuente.\n\n\nPalabras claves: CodeQL\, Taint Tracking\, Static Analysis\, LLM\, GPT4\, CWE\, API modeling
URL:https://www.dc.uba.ar/event/defensa-tesis-licenciatura-david-venegas/
LOCATION:Sala 1604
CATEGORIES:Agenda
END:VEVENT
END:VCALENDAR