神经代码智能（CI）模型是不透明的黑盒，几乎没有关于他们在预测中使用的功能的见解。这种不透明度可能会导致他们的预测不信任，并阻碍其在安全至关重要的应用中的广泛采用。最近，已经提出了输入程序减少技术来识别输入程序中的关键功能，以提高CI模型的透明度。但是，这种方法是语法 - 乌纳威，不考虑编程语言的语法。在本文中，我们采用了语法引导的减少技术，该技术在减少过程中考虑了输入程序的语法。我们对不同类型输入程序的多个模型进行的实验表明，语法引导的减少技术更快，并且在简化程序中提供了较小的关键令牌集。我们还表明，关键令牌可用于生成对抗性示例，最多可用于65％的输入程序。

在神经模型的输入向量中编码源代码有几种方法。这些方法尝试在其编码中包含输入程序的各种句法和语义特征。在本文中，我们调查Code2Snapshot，这是基于输入程序的快照的源代码的新颖表示。我们评估此表示的几种变体，并将其与利用输入程序的丰富的句法和语义特征的最先进的表示性能进行比较。我们对代码2SNAPSHOT在代码摘要任务中的实用性的初步研究表明，输入程序的简单快照对最先进的表示具有可比性。有趣的是，模糊的输入程序对Code2sNapshot性能的影响微不足道，这表明，对于一些任务，神经模型可以通过仅仅依赖于输入程序的结构来提供高性能。

深层神经网络（DNN）越来越多地用于软件工程和代码智能任务。这些是强大的工具，能够通过数百万参数从大型数据集中学习高度概括的模式。同时，它们的大容量可以使他们容易记住数据点。最近的工作表明，当训练数据集嘈杂，涉及许多模棱两可或可疑的样本时，记忆风险特别强烈表现出来，而记忆是唯一的追索权。本文的目的是评估和比较神经代码智能模型中的记忆和概括程度。它旨在提供有关记忆如何影响神经模型在代码智能系统中的学习行为的见解。为了观察模型中的记忆程度，我们为原始训练数据集增加了随机噪声，并使用各种指标来量化噪声对训练和测试各个方面的影响。我们根据Java，Python和Ruby Codebase评估了几种最先进的神经代码智能模型和基准。我们的结果突出了重要的风险：数百万可训练的参数允许神经网络记住任何包括嘈杂数据，并提供错误的概括感。我们观察到所有模型都表现出某些形式的记忆。在大多数代码智能任务中，这可能会很麻烦，因为它们依赖于相当容易发生噪声和重复性数据源，例如GitHub的代码。据我们所知，我们提供了第一个研究，以量化软件工程和代码智能系统领域的记忆效应。这项工作提高了人们的意识，并为训练神经模型的重要问题提供了新的见解，这些问题通常被软件工程研究人员忽略。

归因方法已成为基于输入功能的相关性来解释模型预测的流行方法。尽管功能重要性排名可以提供有关模型如何从原始输入中得出预测的见解，但它们并未对模型用于预测的关键特征使用明确定义。在本文中，我们提出了一种称为WHEACHA的新方法，用于解释代码模型的预测。尽管Wheacha采用追踪模型预测回到输入特征的相同机制，但它与所有现有归因方法的不同之处在于至关重要的方式。具体而言，WHEACHA将输入程序分为“小麦”（即，定义功能是模型预测其预测标签的原因）和其余的“ CHAFF”，以预测学习代码模型的任何预测。我们在工具中意识到WHEACHA，并使用它来解释四个突出的代码模型：Code2Vec，Seq-GNN，GGNN和Codebert。结果表明（1）Huoyan是有效的 - 平均以二十秒的速度服用以端到端方式计算输入程序的小麦（即包括模型预测时间）； （2）所有模型用于预测输入程序的小麦均由简单的句法甚至词汇属性（即标识符名称）制成； （3）基于小麦，我们提出了一种新颖的方法，可以通过培训数据的镜头来解释代码模型的预测。

由于大量学生参加了大规模开放的在线课程（MOOC），因此越来越多的自动化程序维修技术集中在入门编程任务（IPA）上。这种最先进的技术使用程序聚类来利用以前的正确学生实现来修复给定的新不正确提交。通常，这些维修技术使用聚类方法，因为分析了所有可用的正确学生提交以维修程序是不可行的。聚类方法使用基于几个功能的程序表示，例如抽象语法树（AST），语法，控制流和数据流。但是，在表示语义上相似的程序时，这些功能有时会变得脆弱。本文提出了InvaastCluster，这是一种用于程序群集的新方法，它利用了在几个程序执行中观察到的动态生成的程序不变性，以群群群集在语义上等效的IPA。我们的主要目的是通过其不变性及其结构通过其匿名抽象语法树来找到程序的语义结合及其结构的组合。 InvaastCluster的评估表明，在聚集一组不同的正确IPA时，建议的程序表示法优于基于语法的表示。此外，我们将InvaastCluster集成到基于最新的聚类的程序维修工具中，并在一组IPA上进行评估。我们的结果表明，InvaastCluster通过在较短的时间内修复大量学生的程序来使用基于聚类的程序维修工具使用时的当前最新设备。

代码搜索目标是根据自然语言查询检索相关的代码片段，以提高软件生产力和质量。但是，由于源代码和查询之间的语义间隙，自动代码搜索是具有挑战性的。大多数现有方法主要考虑嵌入的顺序信息，其中文本背后的结构信息不完全考虑。在本文中，我们设计了一个名为GraphsearchNet的新型神经网络框架，通过共同学习源代码和查询的富集语义来启用有效和准确的源代码搜索。具体地，我们建议将源代码和查询编码为两个图，其中双向GGNN以捕获图表的本地结构信息。此外，我们通过利用有效的多主题来增强BigGNN，以补充BigGNN错过的全球依赖。关于Java和Python数据集的广泛实验说明了GraphSearchNet优于当前最先进的工作原位。

深度学习方法的最新突破引发了人们对基于学习的错误探测器的兴趣。与传统的静态分析工具相比，这些错误检测器是直接从数据中学到的，因此更容易创建。另一方面，它们很难训练，需要大量数据，而这些数据不容易获得。在本文中，我们提出了一种称为Meta Bug检测的新方法，该方法比现有基于学习的错误探测器具有三个至关重要的优势：Bug-Type通用（即，能够捕获在培训期间完全没有观察到的错误类型），可以自我解释（即能够在没有任何外部可解释方法的情况下解释其自身的预测）和样本有效（即，比标准错误检测器所需的培训数据要少得多）。我们的广泛评估表明，我们的元错误检测器（MBD）有效地捕获了各种错误，包括NULL指针解除，阵列索引外部漏洞，文件句柄泄漏甚至是并发程序中的数据竞赛；在此过程中，MBD还大大优于几个值得注意的基线，包括Facebook推断，一种著名的静态分析工具和FICS，即最新的异常检测方法。

在编程中，学习代码表示有各种应用程序，包括代码分类，代码搜索，注释生成，错误预测等。已经提出了在令牌，语法树，依赖图，代码导航路径或其变体组合方面的各种代码表示，但是，现有的vanilla学习技术具有鲁棒性的主要限制，即，型号很容易当输入以微妙的方式改变输入时，要进行错误的预测。为了增强稳健性，现有方法专注于识别对抗性样本，而不是在落在给定分布之外的有效样品上，我们将其称为分配（OOD）样本。识别出这样的ood样本是本文研究的新问题。为此，我们建议首先使用分发的样本进行in =分发数据集，使得当培训在一起时，它们将增强模型的鲁棒性。我们建议使用能量有界学习的目标函数来将更高的分数分配给分布式样本和较低的分数，以便将这种分布式样品纳入源的培训过程中代码模型。在检测和逆势样本检测方面，我们的评估结果表明，现有源代码模型的稳健性更加准确，在识别ood数据时，同时在同时对对抗性攻击更具抵抗力。此外，所提出的能量有限评分优于大幅的余量，包括Softmax置信度评分，Mahalanobis评分和Odin。

在本文中，我们解决了深入学习的软件漏洞自动修复问题。数据驱动漏洞修复的主要问题是已知确认漏洞的少数现有数据集仅由几千例组成。然而，培训深度学习模型通常需要数十万例的例子。在这项工作中，我们利用了错误修复任务和漏洞修复任务的直觉相关，并且可以传输来自错误修复的知识可以传输到修复漏洞。在机器学习界中，这种技术称为转移学习。在本文中，我们提出了一种修复名为Vreepair的安全漏洞的方法，该方法是基于转移学习。 vreepair首先在大型错误修复语料库上培训，然后在漏洞修复数据集上调整，这是一个较小的数量级。在我们的实验中，我们表明，仅在错误修复语料库上培训的模型可能已经修复了一些漏洞。然后，我们证明转移学习改善了修复易受攻击的C功能的能力。我们还表明，转移学习模型比具有去噪任务训练的模型更好，并在漏洞固定任务上进行微调。总而言之，本文表明，与在小型数据集上的学习相比，转移学习适用于修复C中的安全漏洞。

最近的工作通过从上下文重建令牌来了解源代码的上下文表示。对于诸如英语中汇总代码的下游语义理解任务，这些表示应该理想地捕获程序功能。但是，我们表明流行的基于重建的BERT模型对源代码编辑敏感，即使编辑保存语义。我们提出了僵局：一种学习代码功能的对比预训练任务，而不是形成。触发预先训练神经网络，以识别许多不等效的干扰者之间的程序的功能类似的变体。我们使用自动源到源编译器作为数据增强的形式来缩放可扩展这些变体。对比预训练将JavaScript摘要和打字类型推理准确性提高2％至13％。我们还提出了一个新的零拍摄JavaScript代码克隆检测数据集，显示施加均比更强大和语义有意义。就此而言，我们以39％的Auroc在普发的环境中以39％的AUROC倾斜，高达5％的自然代码。

Machine Learning for Source Code (ML4Code) is an active research field in which extensive experimentation is needed to discover how to best use source code's richly structured information. With this in mind, we introduce JEMMA, an Extensible Java Dataset for ML4Code Applications, which is a large-scale, diverse, and high-quality dataset targeted at ML4Code. Our goal with JEMMA is to lower the barrier to entry in ML4Code by providing the building blocks to experiment with source code models and tasks. JEMMA comes with a considerable amount of pre-processed information such as metadata, representations (e.g., code tokens, ASTs, graphs), and several properties (e.g., metrics, static analysis results) for 50,000 Java projects from the 50KC dataset, with over 1.2 million classes and over 8 million methods. JEMMA is also extensible allowing users to add new properties and representations to the dataset, and evaluate tasks on them. Thus, JEMMA becomes a workbench that researchers can use to experiment with novel representations and tasks operating on source code. To demonstrate the utility of the dataset, we also report results from two empirical studies on our data, ultimately showing that significant work lies ahead in the design of context-aware source code models that can reason over a broader network of source code entities in a software project, the very task that JEMMA is designed to help with.

机器学习（ML）模型在许多软件工程任务中起着越来越普遍的作用。然而，由于大多数模型现在由不透明的深度神经网络供电，因此开发人员可能很难理解为什么该模型的结论以及如何对模型的预测作用。这一问题的激励，本文探讨了源代码模型的反事实解释。这种反事实解释构成了模型“改变其思想”的源代码的最小变化。我们将反事实解释生成整合到真实世界中的源代码的模型。我们描述了影响能够找到现实和合理的反事工艺解释的能力，以及对模型用户的这种解释的有用性。在一系列实验中，我们研究了我们对三种不同模型的方法的功效，每个模型都是基于在源代码上运行的伯特式架构。

深度学习在各种软件工程任务中广泛使用，例如，节目分类和缺陷预测。虽然该技术消除了特征工程所需的过程，但源代码模型的构建显着影响了这些任务的性能。最近的作品主要集中在通过引入从CFG提取的上下文依赖项来补充基于AST的源代码模型。但是，所有这些都关注基本块的表示，这是上下文依赖性的基础。在本文中，我们集成了AST和CFG，并提出了一种嵌入了分层依赖项的新型源代码模型。基于此，我们还设计了一种神经网络，这取决于图表关注机制。特殊地，我们介绍了基本块的句法结构，即其对应的AST，在源代码模型中提供足够的信息并填补间隙。我们在三种实际软件工程任务中评估了该模型，并将其与其他最先进的方法进行了比较。结果表明，我们的模型可以显着提高性能。例如，与最佳性能的基线相比，我们的模型将参数的比例降低了50 \％并实现了对程序分类任务的准确性的4 \％改进。

程序的源代码不仅定义了其语义，还包含可以识别其作者的细微线索。几项研究表明，这些线索可以使用机器学习自动提取，并允许在数百名程序员中确定程序的作者。这种归因对反审查和隐私增强技术的开发商构成了重大威胁，因为它们变得可识别并可能受到起诉。对这种威胁的理想保护是源代码的匿名化。但是，到目前为止，尚未探索这种匿名化的理论和实际原则。在本文中，我们解决了这个问题，并为有关代码匿名化的推理开发了一个框架。我们证明，生成$ k $匿名程序的任务 - 一个不能归因于$ k $ author的程序 - 不可计算，因此是研究的终点。作为一种补救措施，我们介绍了一个轻松的概念，称为$ k $ uncrunclantity，这使我们能够衡量开发人员的保护。基于这个概念，我们在经验上研究了匿名化的候选技术，例如代码归一化，编码样式模仿和代码混淆。我们发现，当攻击者意识到匿名化时，这些技术都没有提供足够的保护。虽然我们引入了一种从代码中删除剩余线索的方法，但我们工作的主要结果是负面的：源代码的匿名化是一个困难而开放的问题。

反向工程师受益于二进制中的标识符（例如函数名称）的存在，但通常将其删除以释放。训练机器学习模型自动预测功能名称是有希望的，但从根本上讲很难：与自然语言中的单词不同，大多数函数名称仅出现一次。在本文中，我们通过引入极端功能标签（XFL）来解决此问题，这是一种极端的多标签学习方法，可为二进制功能选择适当的标签。 XFL将函数名称分为代币，将每个功能视为具有自然语言标记文本的问题的信息标签。我们将二进制代码的语义与通过dexter进行标签，这是一种新颖的函数，将基于静态分析的特征与来自呼叫图的本地上下文和整个二进制的全局上下文相结合。我们证明，XFL/Dexter在Debian Project的10,047个二进制数据集上的功能标签上优于最新技术，获得了83.5％的精度。我们还研究了XFL与文献中的替代二进制嵌入的组合，并表明Dexter始终为这项任务做得最好。结果，我们证明了二进制函数标记可以通过多标签学习有效地措辞，并且二进制函数嵌入得益于包括明确的语义特征。

源代码的最先进的神经模型倾向于在代码的生成时进行评估，并且通常在长地平任务中的产生，例如整个方法体的产生。我们建议使用静态程序分析仪的弱监督来解决这一缺陷。我们的神经统计方法允许深入的生成模型来象征地计算它已经生成的代码中的静态分析工具，长距离语义关系。在培训期间，该模型观察这些关系，并学习生成条件上的程序。考虑到包含该方法的类的剩余部分，我们将我们的方法应用于生成整个Java方法的问题。我们的实验表明，该方法显着地优于最先进的变换器和模型，明确试图在制作程序中没有基本语义错误的程序以及在句法匹配地面真理方面来学习此任务的模型。

动态类型的语言如JavaScript和Python已成为最受欢迎的使用中的使用中。重要的优势可以从动态类型的程序中的类型注释累积。逐渐键入的这种方法是由Querecript编程系统示例，允许程序员指定部分键入的程序，然后使用静态分析来推断剩余类型。然而，通常，静态类型推断的有效性受到限制，取决于程序结构和初始注释的复杂性。结果，对于可以在动态类型的程序中可以在静态预测类型中推进本领域的新​​方法的强大动机，并且该具有可接受的性能用于交互式编程环境。以前的工作表明了使用深度学习的概率类型推断的承诺。在本文中，我们通过引入一系列图形的神经网络（GNN）模型来推进过去的工作，该模型在新型流程图（TFG）表示上运行。 TFG表示输入程序的元素，作为与语法边缘和数据流边缘连接的图表节点，并且我们的GNN模型训练以预测给定输入程序的TFG中的类型标签。我们为我们的评估数据集中的100种最常见类型的GNN模型研究了不同的设计选择，并显示了我们最佳的准确性的两个GNN配置，分别实现了87.76％和86.89％的前1个精度，优于两个最密切相关的深度学习型推断从过去的工作 - 矮人的前进剂，顶级1的精度为84.62％，兰丹特精确为79.45％。此外，这两种配置的平均推理吞吐量为353.8和1,303.9文件/秒，而DeepTyper的186.7个文件/秒和LambDanet的1,050.3文件/秒。

随着预先训练模型的巨大成功，Pretrain-Then-Finetune范式已被广泛采用下游任务，以获得源代码的理解。但是，与昂贵的培训从头开始培训，如何将预先训练的模型从划痕进行有效地调整到新任务的训练模型尚未完全探索。在本文中，我们提出了一种桥接预先训练的模型和与代码相关任务的方法。我们利用语义保留的转换来丰富下游数据分集，并帮助预先接受的模型学习语义特征不变于这些语义上等效的转换。此外，我们介绍课程学习以易于努力的方式组织转换的数据，以微调现有的预先训练的模型。我们将我们的方法应用于一系列预先训练的型号，它们在源代码理解的任务中显着优于最先进的模型，例如算法分类，代码克隆检测和代码搜索。我们的实验甚至表明，在没有重量训练的代码数据上，自然语言预先训练的模型罗伯塔微调我们的轻质方法可以优于或竞争现有的代码，在上述任务中进行微调，如Codebert和Codebert和GraphCodebert。这一发现表明，代码预训练模型中仍有很大的改进空间。

代码摘要可帮助开发人员理解程序并减少在软件维护过程中推断程序功能的时间。最近的努力诉诸深度学习技术，例如序列到序列模型，以生成准确的代码摘要，其中基于变压器的方法已实现了有希望的性能。但是，在此任务域中，有效地将代码结构信息集成到变压器中的情况不足。在本文中，我们提出了一种名为SG-Trans的新方法，将代码结构属性纳入变压器。具体而言，我们将局部符号信息（例如，代码令牌和语句）和全局句法结构（例如，数据流程图）注入变压器的自我发项模块中。为了进一步捕获代码的层次结构特征，局部信息和全局结构旨在分布在下层和变压器高层的注意力头中。广泛的评估表明，SG-trans的表现优于最先进的方法。与表现最佳的基线相比，SG-Trans在流星评分方面仍然可以提高1.4％和2.0％，这是一个广泛用于测量发电质量的度量，分别在两个基准数据集上。

随着研究人员和从业人员将机器学习应用于越来越多的软件工程问题，他们使用的方法变得更加复杂。许多现代方法都以抽象语法树（AST）或其扩展形式使用内部代码结构：基于路径的表示，复杂的图将AST与其他边缘结合在一起。即使可以使用不同的解析器来从代码中提取AST的过程，但选择解析器对最终模型质量的影响仍然没有研究。此外，研究人员经常省略提取特定代码表示的确切细节。在这项工作中，我们在方法名称预测任务中评估了两个模型，即Code2Seq和Treelstm，由八个不同的解析器用于Java语言。为了将数据制备的过程与不同的解析器统一，我们开发了SuperParser，这是基于Pathminer的多语言解析器 - 不合Snostic库。 SuperParser促进了适用于培训和评估ML模型的数据集的端到端创建，这些模型与源代码中的结构信息合作。我们的结果表明，不同解析器建造的树木的结构和内容各不相同。然后，我们分析这种多样性如何影响模型的质量，并表明两种模型最不合适的解析器之间的质量差距非常重要。最后，我们讨论了解析器的其他功能，研究人员和从业人员在选择解析器时应考虑这些特征，以及对模型质量的影响。 SuperParser代码可在https://doi.org/10.5281/zenodo.6366591上公开获得。我们还发布了Java-Norm，即我们用于评估模型的数据集：https：//doi.org/10.5281/zenodo.6366599。