論文の概要: Does the Vulnerability Threaten Our Projects? Automated Vulnerable API Detection for Third-Party Libraries
- arxiv url: http://arxiv.org/abs/2409.02753v1
- Date: Wed, 4 Sep 2024 14:31:16 GMT
- ステータス: 処理完了
- システム内更新日: 2024-09-05 17:55:43.309442
- Title: Does the Vulnerability Threaten Our Projects? Automated Vulnerable API Detection for Third-Party Libraries
- Title(参考訳): 脆弱性は我々のプロジェクトを妨げるか? サードパーティ製ライブラリの自動脆弱性API検出
- Authors: Fangyuan Zhang, Lingling Fan, Sen Chen, Miaoying Cai, Sihan Xu, Lida Zhao,
- Abstract要約: 本稿では,TPLの脆弱性の原因となる脆弱性のあるルートメソッドを効果的に同定できるVAScannerを提案する。
VAScannerは、5.78%の偽陽性と2.16%の偽陰性を除去する。
脆弱性のあるTPLを使用した3,147のプロジェクトの大規模な分析では、脆弱性のあるAPIによって21.51%のプロジェクトが脅かされていることがわかった。
- 参考スコア(独自算出の注目度): 11.012017507408078
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Developers usually use TPLs to facilitate the development of the projects to avoid reinventing the wheels, however, the vulnerable TPLs indeed cause severe security threats. The majority of existing research only considered whether projects used vulnerable TPLs but neglected whether the vulnerable code of the TPLs was indeed used by the projects, which inevitably results in false positives and further requires additional patching efforts and maintenance costs. To address this, we propose VAScanner, which can effectively identify vulnerable root methods causing vulnerabilities in TPLs and further identify all vulnerable APIs of TPLs used by Java projects. Specifically, we first collect the initial patch methods from the patch commits and extract accurate patch methods by employing a patch-unrelated sifting mechanism, then we further identify the vulnerable root methods for each vulnerability by employing an augmentation mechanism. Based on them, we leverage backward call graph analysis to identify all vulnerable APIs for each vulnerable TPL version and construct a database consisting of 90,749 (2,410,779 with library versions) vulnerable APIs with 1.45% false positive proportion with a 95% CI of [1.31%, 1.59%] from 362 TPLs with 14,775 versions. Our experiments show VAScanner eliminates 5.78% false positives and 2.16% false negatives owing to the proposed sifting and augmentation mechanisms. Besides, it outperforms the state-of-the-art method-level tool in analyzing direct dependencies, Eclipse Steady, achieving more effective detection of vulnerable APIs. Furthermore, in a large-scale analysis of 3,147 projects using vulnerable TPLs, we find only 21.51% of projects (with 1.83% false positive proportion and a 95% CI of [0.71%, 4.61%]) were threatened through vulnerable APIs by vulnerable TPLs, demonstrating that VAScanner can potentially reduce false positives significantly.
- Abstract(参考訳): 開発者は通常、車輪の再発明を避けるためにTPLを使用するが、脆弱なTPLは深刻なセキュリティ上の脅威を引き起こす。
既存の研究の大半は、プロジェクトが脆弱なTPLを使用するかどうかのみ検討したが、TPLの脆弱なコードが実際にプロジェクトによって使用されているかどうかを無視した。
そこで本研究では,TPLの脆弱性の原因となる脆弱性のあるルートメソッドを効果的に識別し,Javaプロジェクトで使用されているTPLの脆弱性のあるAPIをすべて識別するVAScannerを提案する。
具体的には、まずパッチコミットから初期パッチメソッドを収集し、パッチ関連シフティング機構を用いて正確なパッチメソッドを抽出する。
それらに基づいて、バックワードコールグラフ分析を利用して、脆弱性のあるTPLバージョン毎のすべての脆弱なAPIを特定し、14,775バージョンの362TPLから95%のCIで1.45%の偽陽性の90,749(ライブラリバージョン2,410,779)の脆弱なAPIからなるデータベースを構築する。
実験の結果,VAScannerは偽陽性5.78%,偽陰性2.16%を除去した。
さらに、Eclipse Steadyという直接的な依存関係を分析する上で、最先端のメソッドレベルのツールよりも優れており、脆弱なAPIのより効果的な検出を実現している。
さらに、脆弱なTPLを使用した3,147プロジェクトの大規模分析では、21.51%のプロジェクト(1.83%が偽陽性、95%が[0.71%, 4.61%])が脆弱なTPLによる脆弱なAPIによって脅かされ、VAScannerが偽陽性を著しく低減できることを示した。
関連論文リスト
- Fine-Grained 1-Day Vulnerability Detection in Binaries via Patch Code Localization [12.73365645156957]
バイナリの1日間の脆弱性は、ソフトウェアセキュリティに対する大きな脅威になっている。
パッチの有無テストは 脆弱性を検出する効果的な方法の1つです
パッチコードとそのコンテキストから安定な値を利用するPLocatorという新しい手法を提案する。
論文 参考訳(メタデータ) (2025-01-29T04:35:37Z) - Enhancing Security in Third-Party Library Reuse -- Comprehensive Detection of 1-day Vulnerability through Code Patch Analysis [8.897599530972638]
サードパーティライブラリ(TPL)は、TPLのメンテナンスが低いため、脆弱性(1日脆弱性と呼ばれる)を導入することができる。
VULTUREは、脆弱なTPLの再利用から生じる1日間の脆弱性を特定することを目的としている。
VULTUREは178個のTPLから175個の脆弱性を特定した。
論文 参考訳(メタデータ) (2024-11-29T12:02:28Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - How Well Do Large Language Models Serve as End-to-End Secure Code Producers? [42.119319820752324]
GPT-3.5 と GPT-4 の 4 つの LLM で生成されたコードの脆弱性を識別し,修復する能力について検討した。
4900のコードを手動または自動でレビューすることで、大きな言語モデルにはシナリオ関連セキュリティリスクの認識が欠けていることが判明した。
修復の1ラウンドの制限に対処するため,LLMにより安全なソースコード構築を促す軽量ツールを開発した。
論文 参考訳(メタデータ) (2024-08-20T02:42:29Z) - Comparison of Static Application Security Testing Tools and Large Language Models for Repo-level Vulnerability Detection [11.13802281700894]
静的アプリケーションセキュリティテスト(SAST)は通常、セキュリティ脆弱性のソースコードをスキャンするために使用される。
ディープラーニング(DL)ベースの手法は、ソフトウェア脆弱性検出の可能性を実証している。
本稿では,ソフトウェア脆弱性を検出するために,15種類のSASTツールと12種類の最先端のオープンソースLLMを比較した。
論文 参考訳(メタデータ) (2024-07-23T07:21:14Z) - Static Application Security Testing (SAST) Tools for Smart Contracts: How Far Are We? [14.974832502863526]
近年,スマートコントラクトセキュリティの重要性が高まっている。
この問題に対処するため、スマートコントラクトの脆弱性を検出するために、多数の静的アプリケーションセキュリティテスト(SAST)ツールが提案されている。
本稿では,スマートコントラクトに対する45種類の脆弱性を含む,最新のきめ細かな分類法を提案する。
論文 参考訳(メタデータ) (2024-04-28T13:40:18Z) - Vulnerability Detection with Code Language Models: How Far Are We? [40.455600722638906]
PrimeVulは、脆弱性検出のためのコードLMのトレーニングと評価のための新しいデータセットである。
これは、人間の検証されたベンチマークに匹敵するラベルの精度を達成する、新しいデータラベリング技術を含んでいる。
また、厳密なデータ重複解消戦略と時系列データ分割戦略を実装して、データの漏洩問題を軽減している。
論文 参考訳(メタデータ) (2024-03-27T14:34:29Z) - Vulnerability Scanners for Ethereum Smart Contracts: A Large-Scale Study [44.25093111430751]
2023年だけでも、そのような脆弱性は数十億ドルを超える巨額の損失をもたらした。
スマートコントラクトの脆弱性を検出し、軽減するために、さまざまなツールが開発されている。
本研究では,既存のセキュリティスキャナの有効性と,現在も継続している脆弱性とのギャップについて検討する。
論文 参考訳(メタデータ) (2023-12-27T11:26:26Z) - Exploiting Library Vulnerability via Migration Based Automating Test
Generation [16.39796265296833]
ソフトウェア開発において、開発者は既存の機能を実装するのを避けるためにサードパーティのライブラリを幅広く利用する。
脆弱性のエクスプロイトは、公開後に脆弱性を再現するためのコードスニペットとして、豊富な脆弱性関連情報を含んでいる。
本研究は、開発者が依存関係を更新するかどうかを判断する基盤として脆弱性エクスプロイトテストを提供するVESTAと呼ばれる、脆弱性エクスプロイトに基づく新しい手法を提案する。
論文 参考訳(メタデータ) (2023-12-15T06:46:45Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z) - ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep
Neural Network and Transfer Learning [80.85273827468063]
既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。
スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。
ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
論文 参考訳(メタデータ) (2021-03-23T15:04:44Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。