論文の概要: Characterising Contributions that Coincide with Vulnerability Mitigation in NPM Libraries

• arxiv url: http://arxiv.org/abs/2406.11362v1
• Date: Mon, 17 Jun 2024 09:33:08 GMT
• ステータス: 処理完了
• システム内更新日: 2024-06-18 15:31:23.231239
• Title: Characterising Contributions that Coincide with Vulnerability Mitigation in NPM Libraries
• Title（参考訳）: NPMライブラリーの脆弱性軽減に寄与するコントリビューションの特徴
• Authors: Ruksit Rojpaisarnkit, Hathaichanok Damrongsiri, Christoph Treude, Ali Ouni, Raula Gaikovina Kula,
• Abstract要約: NPM GitHubプロジェクトは54の異なる脆弱性アドバイザリの影響を受け、合計4,699件のPRとイシューをマイニングしています。 ツール開発と開発者のワークロード管理の改善は、より効率的で効果的な脆弱性軽減プロセスを構築する可能性を秘めています。
• 参考スコア（独自算出の注目度）: 10.975379354505318
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: With the urgent need to secure supply chains among Open Source libraries, attention has focused on mitigating vulnerabilities detected in these libraries. Although awareness has improved recently, most studies still report delays in the mitigation process. This suggests that developers still have to deal with other contributions that occur during the period of fixing vulnerabilities, such as coinciding Pull Requests (PRs) and Issues, yet the impact of these contributions remains unclear. To characterize these contributions, we conducted a mixed-method empirical study to analyze NPM GitHub projects affected by 554 different vulnerability advisories, mining a total of 4,699 coinciding PRs and Issues. We believe that tool development and improved workload management for developers have the potential to create a more efficient and effective vulnerability mitigation process.
• Abstract（参考訳）: オープンソースライブラリ間のサプライチェーンの確保が急務であることから、これらのライブラリで検出された脆弱性の軽減に注目が集まっている。 認識は近年改善されているものの、ほとんどの研究は緩和プロセスの遅延を報告している。 これは、開発者は、プルリクエスト(PR)やイシューなど、脆弱性の修正期間中に発生する他のコントリビューションに対処する必要があることを示唆しているが、これらのコントリビューションの影響は依然として不明である。 これらのコントリビューションを特徴付けるために、54の異なる脆弱性アドバイザリーによって影響を受けるNPM GitHubプロジェクトを分析し、合計4,699のPRとイシューを発掘した。 ツール開発と開発者のワークロード管理の改善は、より効率的で効果的な脆弱性軽減プロセスを構築する可能性を秘めています。

関連論文リスト

• Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
  Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。 35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。 ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
  論文  参考訳（メタデータ） (2024-11-12T01:55:51Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• Unintentional Security Flaws in Code: Automated Defense via Root Cause Analysis [2.899501205987888]
  我々はT5-RCGCNと呼ばれる自動脆弱性根本原因(RC)ツールキットを開発した。 T5言語モデルの埋め込みと、脆弱性分類とローカライゼーションのためのグラフ畳み込みネットワーク(GCN)を組み合わせる。 3つのデータセットで56人のジュニア開発者を対象に、T5-RCGCNをテストしました。
  論文  参考訳（メタデータ） (2024-08-30T18:26:59Z)
• Trust, but Verify: Evaluating Developer Behavior in Mitigating Security Vulnerabilities in Open-Source Software Projects [0.11999555634662631]
  本研究では,オープンソースソフトウェア(OSS)プロジェクトの依存関係の脆弱性について検討する。 古い依存関係やメンテナンスされていない依存関係に共通する問題を特定しました。 その結果, 直接的な依存関係の削減と, 強力なセキュリティ記録を持つ高度に確立されたライブラリの優先順位付けが, ソフトウェアセキュリティの状況を改善する効果的な戦略であることが示唆された。
  論文  参考訳（メタデータ） (2024-08-26T13:46:48Z)
• Exploring Automatic Cryptographic API Misuse Detection in the Era of LLMs [60.32717556756674]
  本稿では,暗号誤用の検出において,大規模言語モデルを評価するための体系的評価フレームワークを提案する。 11,940個のLCM生成レポートを詳細に分析したところ、LSMに固有の不安定性は、報告の半数以上が偽陽性になる可能性があることがわかった。 最適化されたアプローチは、従来の手法を超え、確立されたベンチマークでこれまで知られていなかった誤用を明らかにすることで、90%近い顕著な検出率を達成する。
  論文  参考訳（メタデータ） (2024-07-23T15:31:26Z)
• Retrieval Augmented Generation Integrated Large Language Models in Smart Contract Vulnerability Detection [0.0]
  分散ファイナンス(DeFi)には、スマートコントラクトの脆弱性による大きな損失が伴っている。 攻撃が頻発するにつれて、監査サービスの必要性と需要が高まっている。 本研究では,大規模言語モデル(LLM)とRAG(Retrieval-Augmented Generation)を統合することにより,既存のフレームワークを構築する。
  論文  参考訳（メタデータ） (2024-07-20T10:46:42Z)
• Drop it All or Pick it Up? How Developers Responded to the Log4JShell Vulnerability [5.164262886682181]
  われわれはLog4JShellの多種多様でおそらくその1つを探っている。 私たちの調査では、開発者は5日から6日間の迅速なレスポンスを示しています。 すべてを廃止する代わりに、驚くほど開発者の活動は、待ち望まれているすべての問題やPRに対して増加する傾向があります。
  論文  参考訳（メタデータ） (2024-07-05T05:33:10Z)
• Exploiting Library Vulnerability via Migration Based Automating Test Generation [16.39796265296833]
  ソフトウェア開発において、開発者は既存の機能を実装するのを避けるためにサードパーティのライブラリを幅広く利用する。 脆弱性のエクスプロイトは、公開後に脆弱性を再現するためのコードスニペットとして、豊富な脆弱性関連情報を含んでいる。 本研究は、開発者が依存関係を更新するかどうかを判断する基盤として脆弱性エクスプロイトテストを提供するVESTAと呼ばれる、脆弱性エクスプロイトに基づく新しい手法を提案する。
  論文  参考訳（メタデータ） (2023-12-15T06:46:45Z)
• Competition-Level Problems are Effective LLM Evaluators [121.15880285283116]
  本稿では,Codeforcesにおける最近のプログラミング問題の解決において,大規模言語モデル(LLM)の推論能力を評価することを目的とする。 まず,問題の発生時間,難易度,遭遇したエラーの種類など,様々な側面を考慮して,GPT-4の望ましくないゼロショット性能を総合的に評価する。 驚くべきことに、GPT-4のTheThoughtivedのパフォーマンスは、2021年9月以降、あらゆる困難と種類の問題に対して一貫して問題が減少するような崖を経験している。
  論文  参考訳（メタデータ） (2023-12-04T18:58:57Z)
• Analyzing Maintenance Activities of Software Libraries [65.268245109828]
  近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。 産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
  論文  参考訳（メタデータ） (2023-06-09T16:51:25Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。