論文の概要: Dependency Practices for Vulnerability Mitigation
- arxiv url: http://arxiv.org/abs/2310.07847v1
- Date: Wed, 11 Oct 2023 19:48:46 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-23 03:00:04.752917
- Title: Dependency Practices for Vulnerability Mitigation
- Title(参考訳): 脆弱性緩和のための依存性プラクティス
- Authors: Abbas Javan Jafari, Diego Elias Costa, Ahmad Abdellatif, Emad Shihab
- Abstract要約: npmエコシステムの450以上の脆弱性を分析し、依存するパッケージが脆弱なままである理由を理解します。
依存関係によって感染した20万以上のnpmパッケージを特定します。
私たちは9つの機能を使って、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築しています。
- 参考スコア(独自算出の注目度): 4.710141711181836
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Relying on dependency packages accelerates software development, but it also
increases the exposure to security vulnerabilities that may be present in
dependencies. While developers have full control over which dependency packages
(and which version) they use, they have no control over the dependencies of
their dependencies. Such transitive dependencies, which often amount to a
greater number than direct dependencies, can become infected with
vulnerabilities and put software projects at risk. To mitigate this risk,
Practitioners need to select dependencies that respond quickly to
vulnerabilities to prevent the propagation of vulnerable code to their project.
To identify such dependencies, we analyze more than 450 vulnerabilities in the
npm ecosystem to understand why dependent packages remain vulnerable. We
identify over 200,000 npm packages that are infected through their dependencies
and use 9 features to build a prediction model that identifies packages that
quickly adopt the vulnerability fix and prevent further propagation of
vulnerabilities. We also study the relationship between these features and the
response speed of vulnerable packages. We complement our work with a
practitioner survey to understand the applicability of our findings. Developers
can incorporate our findings into their dependency management practices to
mitigate the impact of vulnerabilities from their dependency supply chain.
- Abstract(参考訳): 依存関係パッケージに依存することはソフトウェア開発を加速するが、依存関係に存在する可能性のあるセキュリティ脆弱性への露出も増加させる。
開発者はどの依存関係パッケージ(およびどのバージョン)を使用するかを完全にコントロールするが、依存関係の依存関係をコントロールできない。
このような推移的な依存関係は、直接的な依存関係よりも多くなり、脆弱性に感染し、ソフトウェアプロジェクトを危険にさらす可能性がある。
このリスクを軽減するためには、プロジェクトへの脆弱性のあるコードの伝播を防ぐために、脆弱性に迅速に応答する依存関係を選択する必要がある。
このような依存関係を特定するため、npmエコシステムの450以上の脆弱性を分析し、依存パッケージが脆弱なままである理由を理解する。
依存関係を通じて感染した20万以上のnpmパッケージを特定し、9つの機能を使用して、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築します。
また,これらの機能と脆弱パッケージの応答速度との関係についても検討した。
我々は,研究成果の適用性を理解するために,実践者の調査を補完する。
開発者はこの調査結果を依存関係管理プラクティスに組み込むことで、依存関係サプライチェーンからの脆弱性の影響を軽減することができます。
関連論文リスト
- ReposVul: A Repository-Level High-Quality Vulnerability Dataset [13.90550557801464]
自動データ収集フレームワークを提案し,ReposVulと呼ばれる最初のリポジトリレベルの高品質な脆弱性データセットを構築した。
提案するフレームワークは,主に3つのモジュールから構成されている。(1)脆弱性解消モジュールは,脆弱性修正に関連するコード変更を,大規模言語モデル (LLM) と静的解析ツールを併用した,絡み合ったパッチから識別することを目的としたもので,(2)脆弱性の相互呼び出し関係の把握を目的とした多言語依存性抽出モジュールで,リポジトリレベル,ファイルレベル,関数レベルを含む各脆弱性パッチに対して,複数の粒度情報を構築する。
論文 参考訳(メタデータ) (2024-01-24T01:27:48Z) - Empirical Analysis of Vulnerabilities Life Cycle in Golang Ecosystem [0.773844059806915]
Golangの脆弱性のライフサイクルを総合的に調査した。
その結果、Golangエコシステムの66.10%のモジュールが脆弱性の影響を受けていることがわかった。
タグ付けされていない脆弱性やラベル付けされていない脆弱性の背後にある理由を分析することで、タイムリーリリースとインデクシングのパッチバージョンは、エコシステムのセキュリティを著しく向上させる可能性がある。
論文 参考訳(メタデータ) (2023-12-31T14:53:51Z) - Lessons from the Long Tail: Analysing Unsafe Dependency Updates across
Software Ecosystems [11.461455369774765]
人口88,416人のプルリクエスト(PR)から得られた3つの代表サンプルに基づく予備データを示す。
安全でない依存関係の更新(すなわち、実行時に安全でないリスクのあるプルリクエスト)を特定します。
これには、トップクラスのライブラリだけでなく、エコシステム全体において、安全でない依存関係更新に対処するためのベストプラクティスの開発が含まれる。
論文 参考訳(メタデータ) (2023-09-08T08:17:09Z) - Evaluating the Instruction-Following Robustness of Large Language Models
to Prompt Injection [70.28425745910711]
LLM(Large Language Models)は、命令追従に非常に熟練した言語である。
この能力は、迅速なインジェクション攻撃のリスクをもたらす。
このような攻撃に対する命令追従LDMの堅牢性を評価する。
論文 参考訳(メタデータ) (2023-08-17T06:21:50Z) - Mitigating Persistence of Open-Source Vulnerabilities in Maven Ecosystem [13.193125763978255]
脆弱性が公開されてすぐにパッチがリリースされるが、コミュニティのライブラリやアプリケーションは依然として脆弱性のあるバージョンを使っている。
本稿では、下流依存者に対する互換性のあるセキュアなバージョン範囲を自動的に復元するレンジ復元(Ranger)のソリューションを提案する。
論文 参考訳(メタデータ) (2023-08-07T09:11:26Z) - Analyzing Maintenance Activities of Software Libraries [65.268245109828]
近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。
産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
論文 参考訳(メタデータ) (2023-06-09T16:51:25Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z) - Instructions as Backdoors: Backdoor Vulnerabilities of Instruction Tuning for Large Language Models [53.416234157608]
本稿では,タスク命令付きクラウドソースデータセット上でモデルが訓練され,優れたパフォーマンスを実現するという,創発的命令チューニングパラダイムのセキュリティ上の懸念について検討する。
本研究は、悪意のある指示をほとんど出さず、データ中毒によるモデル行動を制御することによって、攻撃者がバックドアを注入できることを実証する。
論文 参考訳(メタデータ) (2023-05-24T04:27:21Z) - Vulnerability Propagation in Package Managers Used in iOS Development [2.9280059958992286]
脆弱性はよく知られたライブラリでも見られる。
Swiftエコシステムのライブラリ依存ネットワークは、CocoaPods、Carthage、Swift Package Managerのライブラリを含んでいる。
公開脆弱性が報告されているほとんどのライブラリはCで記述されているが、公開脆弱性の最も大きな影響は、ネイティブiOS言語で記述されたライブラリから来ている。
論文 参考訳(メタデータ) (2023-05-17T16:22:38Z) - Online Safety Property Collection and Refinement for Safe Deep
Reinforcement Learning in Mapless Navigation [79.89605349842569]
オンラインプロパティのコレクション・リファインメント(CROP)フレームワークをトレーニング時にプロパティを設計するために導入する。
CROPは、安全でない相互作用を識別し、安全特性を形成するためにコストシグナルを使用する。
本手法をいくつかのロボットマップレスナビゲーションタスクで評価し,CROPで計算した違反量によって,従来のSafe DRL手法よりも高いリターンと低いリターンが得られることを示す。
論文 参考訳(メタデータ) (2023-02-13T21:19:36Z) - Bilateral Dependency Optimization: Defending Against Model-inversion
Attacks [61.78426165008083]
本稿では,モデル反転攻撃に対する二元的依存性最適化(BiDO)戦略を提案する。
BiDOは、さまざまなデータセット、分類器、MI攻撃に対する最先端の防御性能を達成する。
論文 参考訳(メタデータ) (2022-06-11T10:07:03Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。