論文の概要: On the Security Blind Spots of Software Composition Analysis
- arxiv url: http://arxiv.org/abs/2306.05534v2
- Date: Mon, 9 Oct 2023 23:48:50 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-24 04:03:33.066328
- Title: On the Security Blind Spots of Software Composition Analysis
- Title(参考訳): ソフトウェア構成分析におけるセキュリティ盲点について
- Authors: Jens Dietrich, Shawn Rasheed, Alexander Jordan, Tim White
- Abstract要約: Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
- 参考スコア(独自算出の注目度): 46.1389163921338
- License: http://creativecommons.org/licenses/by-nc-sa/4.0/
- Abstract: Modern software heavily relies on the use of components. Those components are
usually published in central repositories, and managed by build systems via
dependencies. Due to issues around vulnerabilities, licenses and the
propagation of bugs, the study of those dependencies is of utmost importance,
and numerous software composition analysis tools have emerged for this purpose.
A particular challenge are hidden dependencies that are the result of cloning
or shading where code from a component is "inlined", and, in the case of
shading, moved to different namespaces.
We present a novel approach to detect vulnerable clones in the Maven
repository. Our approach is lightweight in that it does not require the
creation and maintenance of a custom index. Starting with 29 vulnerabilities
with assigned CVEs and proof-of-vulnerability projects, we retrieve over 53k
potential vulnerable clones from Maven Central. After running our analysis on
this set, we detect 727 confirmed vulnerable clones (86 if versions are
aggregated) and synthesize a testable proof-of-vulnerability project for each
of those. We demonstrate that existing SCA tools often miss those exposures. At
the time of submission those results have led to changes to the entries for six
CVEs in the GitHub Security Advisory Database (GHSA) via accepted pull
requests, with more pending.
- Abstract(参考訳): 現代のソフトウェアはコンポーネントの使用に大きく依存している。
これらのコンポーネントは通常、中央リポジトリに公開され、依存関係を通じてビルドシステムによって管理される。
脆弱性、ライセンス、バグの伝播に関する問題により、これらの依存関係の研究が最も重要であり、この目的のために多くのソフトウェア構成分析ツールが登場した。
特定の課題は、コンポーネントからのコードが“インライン化”された場合のクローン化やシェーディングの結果である隠れた依存関係であり、シェーディングの場合、異なる名前空間に移動する。
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
私たちのアプローチは、カスタムインデックスの作成とメンテナンスを必要としないという点で軽量です。
割り当てられたcveとvulnerabilityプロジェクトの29の脆弱性から始め、maven centralから53万以上の潜在的な脆弱性クローンを取得しました。
このセットで解析を行った後、727個の脆弱クローン(バージョンが集約された場合86個)を検出し、それぞれに対して検証可能な脆弱性証明プロジェクトを合成する。
既存のSCAツールはこれらの露出を見逃すことがよくあります。
これらの結果が提出された時点では、GitHub Security Advisory Database(GHSA)の6つのCVEのエントリが、承認されたプルリクエストを通じて変更され、さらに待機している。
関連論文リスト
- Patch2QL: Discover Cognate Defects in Open Source Software Supply Chain
With Auto-generated Static Analysis Rules [1.9591497166224197]
本稿では,SASTルールの自動生成によるOSSのコグネート欠陥の検出手法を提案する。
具体的には、プリパッチバージョンとポストパッチバージョンから重要な構文と意味情報を抽出する。
我々はPatch2QLというプロトタイプツールを実装し、それをC/C++の基本OSSに適用した。
論文 参考訳(メタデータ) (2024-01-23T02:23:11Z) - Empirical Analysis of Vulnerabilities Life Cycle in Golang Ecosystem [0.773844059806915]
Golangの脆弱性のライフサイクルを総合的に調査した。
その結果、Golangエコシステムの66.10%のモジュールが脆弱性の影響を受けていることがわかった。
タグ付けされていない脆弱性やラベル付けされていない脆弱性の背後にある理由を分析することで、タイムリーリリースとインデクシングのパッチバージョンは、エコシステムのセキュリティを著しく向上させる可能性がある。
論文 参考訳(メタデータ) (2023-12-31T14:53:51Z) - Security Weaknesses of Copilot Generated Code in GitHub [7.672953891724979]
GitHub Copilotが生成したコードスニペットのセキュリティ脆弱性を分析して、実証的研究を行った。
公開プロジェクトからCopilotが生成した435のコードスニペットを特定しました。
次に、コードスニペット内のCommon Weaknession(CWE)インスタンスを特定するために、広範なセキュリティ分析を行った。
論文 参考訳(メタデータ) (2023-10-03T14:01:28Z) - Exploring Incompatible Knowledge Transfer in Few-shot Image Generation [107.81232567861117]
少ないショット画像生成は、いくつかの参照サンプルを使用して、ターゲットドメインから多彩で高忠実な画像を生成することを学習する。
既存のF SIGメソッドは、ソースジェネレータから事前の知識を選択し、保存し、転送し、ターゲットジェネレータを学習する。
本稿では,知識保存を補完する操作であり,軽量プルーニング方式で実装した知識トランケーションを提案する。
論文 参考訳(メタデータ) (2023-04-15T14:57:15Z) - DRSM: De-Randomized Smoothing on Malware Classifier Providing Certified
Robustness [58.23214712926585]
我々は,マルウェア検出領域の非ランダム化スムース化技術を再設計し,DRSM(De-Randomized Smoothed MalConv)を開発した。
具体的には,実行可能ファイルの局所構造を最大に保ちながら,逆数バイトの影響を確実に抑制するウィンドウアブレーション方式を提案する。
私たちは、マルウェア実行ファイルの静的検出という領域で、認証された堅牢性を提供する最初の人です。
論文 参考訳(メタデータ) (2023-03-20T17:25:22Z) - CodeLMSec Benchmark: Systematically Evaluating and Finding Security
Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。
これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。
この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
論文 参考訳(メタデータ) (2023-02-08T11:54:07Z) - Detecting Security Patches via Behavioral Data in Code Repositories [11.052678122289871]
Gitリポジトリ内の開発者動作のみを使用して,セキュリティパッチを自動的に識別するシステムを示す。
秘密のセキュリティパッチを88.3%、F1スコア89.8%で公開できることを示しました。
論文 参考訳(メタデータ) (2023-02-04T06:43:07Z) - ADC: Adversarial attacks against object Detection that evade Context
consistency checks [55.8459119462263]
文脈整合性チェックさえも、適切に構築された敵の例に対して脆弱であることを示す。
このような防御を覆す実例を生成するための適応型フレームワークを提案する。
我々の結果は、コンテキストを堅牢にモデル化し、一貫性をチェックする方法はまだ未解決の問題であることを示している。
論文 参考訳(メタデータ) (2021-10-24T00:25:09Z) - Detecting Security Fixes in Open-Source Repositories using Static Code
Analyzers [8.716427214870459]
機械学習(ML)アプリケーションにおけるコミットを表現する機能として,既製の静的コードアナライザの出力がどの程度使用されるかを検討する。
埋め込みの構築やMLモデルをトレーニングして、脆弱性修正を含むソースコードコミットを自動的に識別する方法について検討する。
当社のメソッドとcommit2vecの組み合わせは,脆弱性を修正するコミットの自動識別において,最先端技術よりも明確な改善であることがわかった。
論文 参考訳(メタデータ) (2021-05-07T15:57:17Z) - D2A: A Dataset Built for AI-Based Vulnerability Detection Methods Using
Differential Analysis [55.15995704119158]
静的解析ツールによって報告されたラベル問題に対する差分解析に基づくアプローチであるD2Aを提案する。
D2Aを使用して大きなラベル付きデータセットを生成し、脆弱性識別のためのモデルをトレーニングします。
論文 参考訳(メタデータ) (2021-02-16T07:46:53Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。