論文の概要: A Survey of Third-Party Library Security Research in Application Software
- arxiv url: http://arxiv.org/abs/2404.17955v1
- Date: Sat, 27 Apr 2024 16:35:02 GMT
- ステータス: 処理完了
- システム内更新日: 2024-04-30 18:32:14.044019
- Title: A Survey of Third-Party Library Security Research in Application Software
- Title(参考訳): アプリケーションソフトウェアにおけるサードパーティ製ライブラリセキュリティ研究の実態調査
- Authors: Jia Zeng, Dan Han, Yaling Zhu, Yangzhong Wang, Fangchen Weng,
- Abstract要約: サードパーティのライブラリが広く使われるようになると、関連するセキュリティリスクと潜在的な脆弱性がますます顕在化している。
悪意のある攻撃者は、これらの脆弱性を利用してシステムに侵入したり、不正な操作を行ったり、機密情報を盗んだりすることができる。
ソフトウェアにおけるサードパーティのライブラリの研究は、この増大するセキュリティ問題に対処する上で、最重要課題となる。
- 参考スコア(独自算出の注目度): 3.280510821619164
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: In the current software development environment, third-party libraries play a crucial role. They provide developers with rich functionality and convenient solutions, speeding up the pace and efficiency of software development. However, with the widespread use of third-party libraries, associated security risks and potential vulnerabilities are increasingly apparent. Malicious attackers can exploit these vulnerabilities to infiltrate systems, execute unauthorized operations, or steal sensitive information, posing a severe threat to software security. Research on third-party libraries in software becomes paramount to address this growing security challenge. Numerous research findings exist regarding third-party libraries' usage, ecosystem, detection, and fortification defenses. Understanding the usage and ecosystem of third-party libraries helps developers comprehend the potential risks they bring and select trustworthy libraries. Third-party library detection tools aid developers in automatically discovering third-party libraries in software, facilitating their management. In addition to detection, fortification defenses are also indispensable. This article profoundly investigates and analyzes this literature, summarizing current research achievements and future development directions. It aims to provide practical and valuable insights for developers and researchers, jointly promoting the healthy development of software ecosystems and better-protecting software from security threats.
- Abstract(参考訳): 現在のソフトウェア開発環境では、サードパーティのライブラリが重要な役割を果たす。
開発者に豊富な機能と便利なソリューションを提供し、ソフトウェア開発のペースと効率を早める。
しかし、サードパーティのライブラリが広く使われるようになると、セキュリティ上のリスクと潜在的な脆弱性がますます顕在化している。
悪意ある攻撃者は、これらの脆弱性を利用してシステムに侵入したり、不正な操作を実行したり、機密情報を盗んだりすることができる。
ソフトウェアにおけるサードパーティのライブラリの研究は、この増大するセキュリティ問題に対処する上で、最重要課題となる。
サードパーティのライブラリの使用、エコシステム、検出、要塞防衛に関する多くの研究結果が存在する。
サードパーティライブラリの使用とエコシステムを理解することで、開発者は彼らがもたらす潜在的なリスクを理解し、信頼できるライブラリを選択します。
サードパーティのライブラリ検出ツールは、ソフトウェアでサードパーティのライブラリを自動的に検出し、管理を容易にする。
検出に加えて、要塞防御も不可欠である。
本稿では,この文献を深く研究し,分析し,現在の研究成果と今後の開発方向性を要約する。
開発者と研究者に実用的で価値のある洞察を提供することを目標とし、ソフトウェアエコシステムの健全な開発を共同で推進し、セキュリティ上の脅威からソフトウェアを保護します。
関連論文リスト
- Agent-Driven Automatic Software Improvement [55.2480439325792]
本提案は,Large Language Models (LLMs) を利用したエージェントの展開に着目して,革新的なソリューションの探求を目的とする。
継続的学習と適応を可能にするエージェントの反復的性質は、コード生成における一般的な課題を克服するのに役立ちます。
我々は,これらのシステムにおける反復的なフィードバックを用いて,エージェントの基盤となるLLMをさらに微調整し,自動化されたソフトウェア改善のタスクに整合性を持たせることを目指している。
論文 参考訳(メタデータ) (2024-06-24T15:45:22Z) - SoK: A Defense-Oriented Evaluation of Software Supply Chain Security [3.165193382160046]
ソフトウェアサプライチェーンのセキュリティ研究と開発の次の段階は、防衛指向のアプローチから大きな恩恵を受けるだろう、と私たちは主張する。
本稿では,ソフトウェアサプライチェーンの基本的な要素とその因果関係を表現するフレームワークであるAStRAモデルを紹介する。
論文 参考訳(メタデータ) (2024-05-23T18:53:48Z) - DevPhish: Exploring Social Engineering in Software Supply Chain Attacks on Developers [0.3754193239793766]
敵はソフトウェア開発者に特化した社会工学(SocE)技術を利用する。
本稿では、ソフトウェア技術者(SWE)を騙して悪意あるソフトウェアを届けるために、敵が採用している既存のSocE戦術を包括的に探求することを目的とする。
論文 参考訳(メタデータ) (2024-02-28T15:24:43Z) - A Landscape Study of Open Source and Proprietary Tools for Software Bill
of Materials (SBOM) [3.1190983209295076]
Software Bill of Materials (SBOM) は、アプリケーションで使用されるすべてのサードパーティのコンポーネントと依存関係を在庫するリポジトリである。
最近のサプライチェーンの侵害は、ソフトウェアのセキュリティと脆弱性のリスクを高める緊急の必要性を浮き彫りにしている。
本研究では,SBOMに関連するオープンソースおよびプロプライエタリツールの現在の状況を評価するための実証分析を行う。
論文 参考訳(メタデータ) (2024-02-17T00:36:20Z) - Prioritizing Safeguarding Over Autonomy: Risks of LLM Agents for Science [65.77763092833348]
大規模言語モデル(LLM)を利用したインテリジェントエージェントは、自律的な実験を行い、様々な分野にわたる科学的発見を促進する上で、大きな可能性を証明している。
彼らの能力は有望だが、これらのエージェントは安全性を慎重に考慮する必要がある新たな脆弱性も導入している。
本稿では,科学領域におけるLSMをベースとしたエージェントの脆弱性の徹底的な調査を行い,その誤用に伴う潜在的なリスクに光を当て,安全性対策の必要性を強調した。
論文 参考訳(メタデータ) (2024-02-06T18:54:07Z) - Security in Online Freelance Software Development: A case for
Distributed Security Responsibility [10.123578004071952]
フリーランス開発者がセキュリティプラクティスにどのように準拠するかについては、多くの研究がある。
オンラインフリーランス環境における分散セキュリティの責務について論じる。
リサーチは、既存のセキュリティソリューションを幅広い開発者コミュニティにもたらす可能性がある。
論文 参考訳(メタデータ) (2023-07-12T10:35:27Z) - Analyzing Maintenance Activities of Software Libraries [65.268245109828]
近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。
産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
論文 参考訳(メタデータ) (2023-06-09T16:51:25Z) - CodeLMSec Benchmark: Systematically Evaluating and Finding Security
Vulnerabilities in Black-Box Code Language Models [58.27254444280376]
自動コード生成のための大規模言語モデル(LLM)は、いくつかのプログラミングタスクにおいてブレークスルーを達成した。
これらのモデルのトレーニングデータは、通常、インターネット(例えばオープンソースのリポジトリから)から収集され、障害やセキュリティ上の脆弱性を含む可能性がある。
この不衛生なトレーニングデータは、言語モデルにこれらの脆弱性を学習させ、コード生成手順中にそれを伝播させる可能性がある。
論文 参考訳(メタデータ) (2023-02-08T11:54:07Z) - Developing Hands-on Labs for Source Code Vulnerability Detection with AI [0.0]
我々は、将来のIT専門家をセキュアなプログラミングの習慣へと導くために、モジュールの学習と実験室への手引きを含むフレームワークを提案する。
このテーマは、ソースコードとログファイル分析ツールを使用して、セキュアなプログラミングプラクティスを学生に紹介するラボで、学習モジュールを設計することを目的としています。
論文 参考訳(メタデータ) (2023-02-01T20:53:58Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z) - SafePILCO: a software tool for safe and data-efficient policy synthesis [67.17251247987187]
SafePILCOは、強化学習による安全でデータ効率のよいポリシー検索のためのソフトウェアツールである。
これは、Pythonで書かれた既知のPILCOアルゴリズムを拡張し、安全な学習をサポートする。
論文 参考訳(メタデータ) (2020-08-07T17:17:30Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。