論文の概要: Mitigating Persistence of Open-Source Vulnerabilities in Maven Ecosystem
- arxiv url: http://arxiv.org/abs/2308.03419v1
- Date: Mon, 7 Aug 2023 09:11:26 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-23 15:10:42.293430
- Title: Mitigating Persistence of Open-Source Vulnerabilities in Maven Ecosystem
- Title(参考訳): mavenエコシステムにおけるオープンソース脆弱性の永続性の緩和
- Authors: Lyuye Zhang, Chengwei Liu, Sen Chen, Zhengzi Xu, Lingling Fan, Lida
Zhao, Yiran Zhang, Yang Liu
- Abstract要約: 脆弱性が公開されてすぐにパッチがリリースされるが、コミュニティのライブラリやアプリケーションは依然として脆弱性のあるバージョンを使っている。
本稿では、下流依存者に対する互換性のあるセキュアなバージョン範囲を自動的に復元するレンジ復元(Ranger)のソリューションを提案する。
- 参考スコア(独自算出の注目度): 13.193125763978255
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Vulnerabilities from third-party libraries (TPLs) have been unveiled to
threaten the Maven ecosystem. Despite patches being released promptly after
vulnerabilities are disclosed, the libraries and applications in the community
still use the vulnerable versions, which makes the vulnerabilities persistent
in the Maven ecosystem (e.g., the notorious Log4Shell still greatly influences
the Maven ecosystem nowadays from 2021). Both academic and industrial
researchers have proposed user-oriented standards and solutions to address
vulnerabilities, while such solutions fail to tackle the ecosystem-wide
persistent vulnerabilities because it requires a collective effort from the
community to timely adopt patches without introducing breaking issues.
To seek an ecosystem-wide solution, we first carried out an empirical study
to examine the prevalence of persistent vulnerabilities in the Maven ecosystem.
Then, we identified affected libraries for alerts by implementing an algorithm
monitoring downstream dependents of vulnerabilities based on an up-to-date
dependency graph. Based on them, we further quantitatively revealed that
patches blocked by upstream libraries caused the persistence of
vulnerabilities. After reviewing the drawbacks of existing countermeasures, to
address them, we proposed a solution for range restoration (Ranger) to
automatically restore the compatible and secure version ranges of dependencies
for downstream dependents. The automatic restoration requires no manual effort
from the community, and the code-centric compatibility assurance ensures smooth
upgrades to patched versions. Moreover, Ranger along with the ecosystem
monitoring can timely alert developers of blocking libraries and suggest
flexible version ranges to rapidly unblock patch versions. By evaluation,
Ranger could restore 75.64% of ranges which automatically remediated 90.32% of
vulnerable downstream projects.
- Abstract(参考訳): Mavenエコシステムを脅かすために、サードパーティライブラリ(TPL)からの脆弱性が公開された。
脆弱性が公表されてすぐにパッチがリリースされたが、コミュニティのライブラリやアプリケーションは依然として脆弱なバージョンを使っているため、Mavenエコシステムに脆弱性が永続化されている(例えば、悪名高いLog4Shellは2021年からMavenエコシステムに大きく影響している)。
アカデミックと産業の研究者の両方が脆弱性に対処するためのユーザ指向標準とソリューションを提案しているが、このようなソリューションはエコシステム全体の永続的な脆弱性には対処できない。
エコシステム全体のソリューションを探すために、Mavenエコシステムにおける永続的な脆弱性の頻度を調べるための実証的研究を行った。
そして,最新の依存関係グラフに基づいて,脆弱性の下流依存性を監視するアルゴリズムを実装して,アラートの影響を受けるライブラリを特定した。
さらに,上流ライブラリでブロックされたパッチが脆弱性の持続性の原因であることを定量的に明らかにした。
既存の対策の欠点を概観した後、我々は、下流依存者に対して、互換性のある安全なバージョン範囲を自動的に復元するレンジ復元(Ranger)ソリューションを提案しました。
自動修復はコミュニティからの手作業を必要としず、コード中心の互換性保証により、パッチ付きバージョンへのスムーズなアップグレードが保証される。
さらに、Rangerとエコシステム監視は、ライブラリをブロックする開発者にタイムリーに警告し、フレキシブルなバージョン範囲を素早くアンブロックするパッチバージョンまで提案する。
評価により、レンジャーは75.64%のレンジを回復し、脆弱な下流プロジェクトの90.32%を自動で仲介した。
関連論文リスト
- JailbreakBench: An Open Robustness Benchmark for Jailbreaking Large Language Models [123.66104233291065]
ジェイルブレイク攻撃は、大きな言語モデル(LLM)が有害、非倫理的、またはその他の不快なコンテンツを生成する原因となる。
JailbreakBenchは、jailbreak攻撃を評価するためのオープンソースのベンチマークである。
論文 参考訳(メタデータ) (2024-03-28T02:44:02Z) - FaultGuard: A Generative Approach to Resilient Fault Prediction in Smart Electrical Grids [53.2306792009435]
FaultGuardは、障害タイプとゾーン分類のための最初のフレームワークであり、敵攻撃に耐性がある。
本稿では,ロバスト性を高めるために,低複雑性故障予測モデルとオンライン逆行訓練手法を提案する。
本モデルでは,耐故障予測ベンチマークの最先端を最大0.958の精度で上回っている。
論文 参考訳(メタデータ) (2024-03-26T08:51:23Z) - ReposVul: A Repository-Level High-Quality Vulnerability Dataset [13.90550557801464]
自動データ収集フレームワークを提案し,ReposVulと呼ばれる最初のリポジトリレベルの高品質な脆弱性データセットを構築した。
提案するフレームワークは,主に3つのモジュールから構成されている。(1)脆弱性解消モジュールは,脆弱性修正に関連するコード変更を,大規模言語モデル (LLM) と静的解析ツールを併用した,絡み合ったパッチから識別することを目的としたもので,(2)脆弱性の相互呼び出し関係の把握を目的とした多言語依存性抽出モジュールで,リポジトリレベル,ファイルレベル,関数レベルを含む各脆弱性パッチに対して,複数の粒度情報を構築する。
論文 参考訳(メタデータ) (2024-01-24T01:27:48Z) - Empirical Analysis of Vulnerabilities Life Cycle in Golang Ecosystem [0.773844059806915]
Golangの脆弱性のライフサイクルを総合的に調査した。
その結果、Golangエコシステムの66.10%のモジュールが脆弱性の影響を受けていることがわかった。
タグ付けされていない脆弱性やラベル付けされていない脆弱性の背後にある理由を分析することで、タイムリーリリースとインデクシングのパッチバージョンは、エコシステムのセキュリティを著しく向上させる可能性がある。
論文 参考訳(メタデータ) (2023-12-31T14:53:51Z) - Dependency Practices for Vulnerability Mitigation [4.710141711181836]
npmエコシステムの450以上の脆弱性を分析し、依存するパッケージが脆弱なままである理由を理解します。
依存関係によって感染した20万以上のnpmパッケージを特定します。
私たちは9つの機能を使って、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築しています。
論文 参考訳(メタデータ) (2023-10-11T19:48:46Z) - Analyzing Maintenance Activities of Software Libraries [65.268245109828]
近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。
産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
論文 参考訳(メタデータ) (2023-06-09T16:51:25Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z) - Transformer-based Vulnerability Detection in Code at EditTime:
Zero-shot, Few-shot, or Fine-tuning? [5.603751223376071]
脆弱性のあるコードパターンの大規模データセットにディープラーニングを活用する実用的なシステムを提案する。
美術品の脆弱性検出モデルと比較すると,我々の手法は工芸品の状態を10%改善する。
論文 参考訳(メタデータ) (2023-05-23T01:21:55Z) - Vulnerability Propagation in Package Managers Used in iOS Development [2.9280059958992286]
脆弱性はよく知られたライブラリでも見られる。
Swiftエコシステムのライブラリ依存ネットワークは、CocoaPods、Carthage、Swift Package Managerのライブラリを含んでいる。
公開脆弱性が報告されているほとんどのライブラリはCで記述されているが、公開脆弱性の最も大きな影響は、ネイティブiOS言語で記述されたライブラリから来ている。
論文 参考訳(メタデータ) (2023-05-17T16:22:38Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - Autosploit: A Fully Automated Framework for Evaluating the
Exploitability of Security Vulnerabilities [47.748732208602355]
Autosploitは脆弱性の悪用性を評価するためのフレームワークだ。
環境の異なる設定でエクスプロイトを自動的にテストする。
ノイズレス環境とノイズの多い環境の両方で脆弱性を悪用する能力に影響を与えるシステムの特性を識別することができる。
論文 参考訳(メタデータ) (2020-06-30T18:49:18Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。