論文の概要: Shedding Light on CVSS Scoring Inconsistencies: A User-Centric Study on Evaluating Widespread Security Vulnerabilities
- arxiv url: http://arxiv.org/abs/2308.15259v2
- Date: Wed, 8 May 2024 07:08:48 GMT
- ステータス: 処理完了
- システム内更新日: 2024-05-09 19:20:21.709631
- Title: Shedding Light on CVSS Scoring Inconsistencies: A User-Centric Study on Evaluating Widespread Security Vulnerabilities
- Title(参考訳): CVSSスコーディングの不整合性に対するシーディングライト:広帯域セキュリティ脆弱性の評価に関するユーザ中心的研究
- Authors: Julia Wunder, Andreas Kurtz, Christian Eichenmüller, Freya Gassmann, Zinaida Benenson,
- Abstract要約: CVSS(Common Vulnerability Scoring System)は、脆弱性管理における脆弱性の深刻さを評価する一般的な手法である。
CVSSの特定の指標が広範囲にわたる脆弱性タイプに対して不整合に評価されていることを示す。
本研究は,ほとんどの評価者はCVSSの問題点を自覚しているが,CVSSは依然として脆弱性評価に有用なツールであると考えている。
- 参考スコア(独自算出の注目度): 6.46853630952776
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: The Common Vulnerability Scoring System (CVSS) is a popular method for evaluating the severity of vulnerabilities in vulnerability management. In the evaluation process, a numeric score between 0 and 10 is calculated, 10 being the most severe (critical) value. The goal of CVSS is to provide comparable scores across different evaluators. However, previous works indicate that CVSS might not reach this goal: If a vulnerability is evaluated by several analysts, their scores often differ. This raises the following questions: Are CVSS evaluations consistent? Which factors influence CVSS assessments? We systematically investigate these questions in an online survey with 196 CVSS users. We show that specific CVSS metrics are inconsistently evaluated for widespread vulnerability types, including Top 3 vulnerabilities from the "2022 CWE Top 25 Most Dangerous Software Weaknesses" list. In a follow-up survey with 59 participants, we found that for the same vulnerabilities from the main study, 68% of these users gave different severity ratings. Our study reveals that most evaluators are aware of the problematic aspects of CVSS, but they still see CVSS as a useful tool for vulnerability assessment. Finally, we discuss possible reasons for inconsistent evaluations and provide recommendations on improving the consistency of scoring.
- Abstract(参考訳): CVSS(Common Vulnerability Scoring System)は、脆弱性管理における脆弱性の深刻さを評価する一般的な手法である。
評価工程では、0〜10の数値スコアが算出され、10が最も重い(臨界)値となる。
CVSSの目標は、さまざまな評価指標に匹敵するスコアを提供することである。
脆弱性が複数のアナリストによって評価された場合、そのスコアはしばしば異なります。
CVSSの評価は一貫性があるか?
CVSS評価に影響を与える要因は何か?
CVSS利用者196名のオンライン調査において,これらの質問を体系的に調査した。
CVSSのメトリクスは、"2022 CWE Top 25 Most Dangerous Software Weaknesses"リストの上位3の脆弱性を含む、広範な脆弱性タイプに対して一貫性のない評価がなされていることを示す。
59人の参加者によるフォローアップ調査では、本調査と同じ脆弱性に対して、これらのユーザの68%が、異なる重症度評価をしました。
本研究は,ほとんどの評価者はCVSSの問題点を自覚しているが,CVSSは依然として脆弱性評価に有用なツールであると考えている。
最後に,不整合評価の可能性を議論し,スコアの整合性を改善するためのレコメンデーションを提供する。
関連論文リスト
- Improving the Shortest Plank: Vulnerability-Aware Adversarial Training for Robust Recommender System [60.719158008403376]
VAT(Vulnerability-aware Adversarial Training)は、レコメンデーションシステムにおける中毒攻撃に対する防御を目的とした訓練である。
VATは、システムの適合度に基づいて、ユーザの脆弱性を推定するために、新たな脆弱性認識機能を採用している。
論文 参考訳(メタデータ) (2024-09-26T02:24:03Z) - Mitigating Data Imbalance for Software Vulnerability Assessment: Does Data Augmentation Help? [0.0]
CVSS(Common Vulnerability Scoring System)タスクにおけるモデルの予測性能は,データ不均衡の軽減によって著しく向上することを示す。
また、ランダムなテキスト挿入、削除、置換といった単純なテキスト拡張は、ボード全体のベースラインよりも優れていることもわかりました。
論文 参考訳(メタデータ) (2024-07-15T13:47:55Z) - SORRY-Bench: Systematically Evaluating Large Language Model Safety Refusal Behaviors [64.9938658716425]
安全でないユーザリクエストを認識して拒否する、大規模な言語モデル(LLM)の既存の評価は、3つの制限に直面している。
まず、既存の手法では、安全でないトピックの粗い粒度を使い、いくつかのきめ細かいトピックを過剰に表現している。
第二に、プロンプトの言語的特徴とフォーマッティングは、様々な言語、方言など、多くの評価において暗黙的にのみ考慮されているように、しばしば見過ごされる。
第3に、既存の評価は大きなLCMに頼っているため、コストがかかる可能性がある。
論文 参考訳(メタデータ) (2024-06-20T17:56:07Z) - Better than Random: Reliable NLG Human Evaluation with Constrained Active Sampling [50.08315607506652]
信頼性の高い人的判断のための制約付きアクティブサンプリングフレームワーク(CASF)を提案する。
実験の結果、CASFは93.18%のシステム認識精度が得られた。
論文 参考訳(メタデータ) (2024-06-12T07:44:36Z) - SecScore: Enhancing the CVSS Threat Metric Group with Empirical Evidences [0.0]
最も広く使用されている脆弱性スコアリングシステム(CVSS)の1つは、エクスプロイトコードが出現する可能性の増大に対処していない。
本稿では,CVSS Threatメトリックグループを強化した,革新的な脆弱性重大度スコアであるSecScoreを提案する。
論文 参考訳(メタデータ) (2024-05-14T12:25:55Z) - Is Reference Necessary in the Evaluation of NLG Systems? When and Where? [58.52957222172377]
基準自由度は人間の判断と高い相関を示し,言語品質の低下に対する感度が高いことを示す。
本研究は,自動測定の適切な適用方法と,測定値の選択が評価性能に与える影響について考察する。
論文 参考訳(メタデータ) (2024-03-21T10:31:11Z) - CriticEval: Evaluating Large Language Model as Critic [110.29766259843453]
CriticEvalは、大規模言語モデルの批判能力を包括的かつ確実に評価するように設計された、新しいベンチマークである。
包括性を確保するため、CriticalEvalは9つの異なるタスクシナリオの4次元から批判能力を評価する。
信頼性を確保するため、多数の批判が注釈付けされ、参照として機能する。
論文 参考訳(メタデータ) (2024-02-21T12:38:59Z) - Automated CVE Analysis for Threat Prioritization and Impact Prediction [4.540236408836132]
CVE分析と脅威優先順位付けに革命をもたらす新しい予測モデルとツール(CVEDrill)を導入する。
CVEDrillは、正確な脅威軽減と優先順位付けのために、CVSSベクターを正確に推定する。
CVEを適切なCommon Weaknession(CWE)階層クラスにシームレスに分類する。
論文 参考訳(メタデータ) (2023-09-06T14:34:03Z) - Evaluate What You Can't Evaluate: Unassessable Quality for Generated Response [56.25966921370483]
大規模な言語モデルに基づく参照不要評価器の使用には課題がある。
参照なし評価器は、異なるセマンティクス応答を持つオープンな例により適している。
対話応答の質を評価するため, LLM に基づく推論不要評価器の使用にはリスクがある。
論文 参考訳(メタデータ) (2023-05-24T02:52:48Z) - On the Use of Fine-grained Vulnerable Code Statements for Software
Vulnerability Assessment Models [0.0]
実世界の200のプロジェクトで429のSVの1,782の関数から得られた大規模データを用いて,関数レベルのSVアセスメントタスクのための機械学習モデルを開発した。
脆弱な文のサイズは5.8倍小さいが、7.5-114.5%以上の評価性能を示す。
論文 参考訳(メタデータ) (2022-03-16T06:29:40Z) - CVSS-BERT: Explainable Natural Language Processing to Determine the
Severity of a Computer Security Vulnerability from its Description [0.0]
サイバーセキュリティの専門家は、CVSS(Common Vulnerability Scoring System)を用いて脆弱性の深刻度を分析する。
本稿では,NLP(Natural Language Processing)分野の最近の進歩を活用して,脆弱性のCVSSベクトルと関連する重大度スコアを説明可能な方法で決定することを提案する。
論文 参考訳(メタデータ) (2021-11-16T14:31:09Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。