論文の概要: A Mixed-Methods Study of Open-Source Software Maintainers On Vulnerability Management and Platform Security Features
- arxiv url: http://arxiv.org/abs/2409.07669v1
- Date: Thu, 12 Sep 2024 00:15:03 GMT
- ステータス: 処理完了
- システム内更新日: 2024-09-13 18:11:59.972895
- Title: A Mixed-Methods Study of Open-Source Software Maintainers On Vulnerability Management and Platform Security Features
- Title(参考訳): 脆弱性管理とプラットフォームセキュリティ機能に関するオープンソースソフトウェアメンテナの混合手法の検討
- Authors: Jessy Ayala, Yu-Jye Tung, Joshua Garcia,
- Abstract要約: 本稿では,OSSメンテナの脆弱性管理とプラットフォームセキュリティ機能について考察する。
サプライチェーンの不信や、脆弱性管理の自動化の欠如が、最も困難であることに気付きました。
プラットフォームのセキュリティ機能を採用する上での障壁は、認識の欠如と、それらが必要ないという認識の欠如である。
- 参考スコア(独自算出の注目度): 6.814841205623832
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: In open-source software (OSS), software vulnerabilities have significantly increased. Although researchers have investigated the perspectives of vulnerability reporters and OSS contributor security practices, understanding the perspectives of OSS maintainers on vulnerability management and platform security features is currently understudied. In this paper, we investigate the perspectives of OSS maintainers who maintain projects listed in the GitHub Advisory Database. We explore this area by conducting two studies: identifying aspects through a listing survey ($n_1=80$) and gathering insights from semi-structured interviews ($n_2=22$). Of the 37 identified aspects, we find that supply chain mistrust and lack of automation for vulnerability management are the most challenging, and barriers to adopting platform security features include a lack of awareness and the perception that they are not necessary. Surprisingly, we find that despite being previously vulnerable, some maintainers still allow public vulnerability reporting, or ignore reports altogether. Based on our findings, we discuss implications for OSS platforms and how the research community can better support OSS vulnerability management efforts.
- Abstract(参考訳): オープンソースソフトウェア(OSS)では、ソフトウェア脆弱性が大幅に増加した。
研究者は脆弱性レポーターとOSSコントリビュータのセキュリティプラクティスの観点を調査してきたが、脆弱性管理とプラットフォームセキュリティ機能に関するOSSメンテナの視点の理解は現在検討中である。
本稿では、GitHub Advisory Databaseにリストされたプロジェクトを管理するOSSメンテナの視点について検討する。
この領域を調査するために,2つの調査を行った。調査(n_1=80$)と半構造化インタビュー(n_2=22$)である。
37の特定された側面のうち、サプライチェーンの不信と脆弱性管理の自動化の欠如が最も困難であることに気付き、プラットフォームセキュリティ機能を採用する上での障壁には、認識の欠如と、それらが不要であるという認識が含まれる。
驚いたことに、以前脆弱性があったにもかかわらず、一部のメンテナーは公開脆弱性レポートを許可しているか、レポートを完全に無視している。
本研究は,OSSプラットフォームがもたらす意味と,OSS脆弱性管理の取り組みを研究コミュニティがいかに支援できるかを考察する。
関連論文リスト
- On Categorizing Open Source Software Security Vulnerability Reporting Mechanisms on GitHub [1.7174932174564534]
オープンソースプロジェクトはソフトウェア開発に不可欠だが、修正なしで脆弱性を公表することは、エクスプロイトのリスクを増大させる。
OpenSSF(Open Source Security Foundation)は、プロジェクトセキュリティを強化するための堅牢なセキュリティポリシーを促進することでこの問題に対処している。
現在の調査では、多くのプロジェクトがOpenSSFの基準で不十分なパフォーマンスを示しており、より強力なセキュリティプラクティスの必要性を示している。
論文 参考訳(メタデータ) (2025-02-11T09:23:24Z) - Investigating Vulnerability Disclosures in Open-Source Software Using Bug Bounty Reports and Security Advisories [6.814841205623832]
私たちは,GitHubのセキュリティアドバイザリ3,798件と,OSSバグ報奨金レポート4,033件について,実証的研究を行った。
OSSの脆弱性がセキュリティアドバイザリやバグ報奨金報告からどのように伝播するかを説明する明示的なプロセスは、私たちが最初に決定します。
論文 参考訳(メタデータ) (2025-01-29T16:36:41Z) - PASTA-4-PHT: A Pipeline for Automated Security and Technical Audits for the Personal Health Train [34.203290179252555]
この研究は、DevSecOpsの原則にインスパイアされたPHT準拠のセキュリティと監査パイプラインについて論じる。
我々は、PHTに脆弱性を導入し、我々のパイプラインを5つの現実世界のPHTに適用する。
最終的に、私たちの仕事はPHTフレームワーク内のデータ処理アクティビティのセキュリティと全体的な透明性の向上に貢献します。
論文 参考訳(メタデータ) (2024-12-02T08:43:40Z) - Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。
35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。
ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
論文 参考訳(メタデータ) (2024-11-12T01:55:51Z) - Trust, but Verify: Evaluating Developer Behavior in Mitigating Security Vulnerabilities in Open-Source Software Projects [0.11999555634662631]
本研究では,オープンソースソフトウェア(OSS)プロジェクトの依存関係の脆弱性について検討する。
古い依存関係やメンテナンスされていない依存関係に共通する問題を特定しました。
その結果, 直接的な依存関係の削減と, 強力なセキュリティ記録を持つ高度に確立されたライブラリの優先順位付けが, ソフトウェアセキュリティの状況を改善する効果的な戦略であることが示唆された。
論文 参考訳(メタデータ) (2024-08-26T13:46:48Z) - On Security Weaknesses and Vulnerabilities in Deep Learning Systems [32.14068820256729]
具体的には、ディープラーニング(DL)フレームワークについて検討し、DLシステムにおける脆弱性に関する最初の体系的な研究を行う。
各種データベースの脆弱性パターンを探索する2ストリームデータ分析フレームワークを提案する。
我々は,脆弱性のパターンと修正の課題をよりよく理解するために,3,049個のDL脆弱性を大規模に検討した。
論文 参考訳(メタデータ) (2024-06-12T23:04:13Z) - Profile of Vulnerability Remediations in Dependencies Using Graph
Analysis [40.35284812745255]
本研究では,グラフ解析手法と改良型グラフ注意畳み込みニューラルネットワーク(GAT)モデルを提案する。
制御フローグラフを分析して、脆弱性の修正を目的とした依存性のアップグレードから発生するアプリケーションの変更をプロファイルします。
結果は、コード脆弱性のリレーショナルダイナミクスに関する微妙な洞察を提供する上で、強化されたGATモデルの有効性を示す。
論文 参考訳(メタデータ) (2024-03-08T02:01:47Z) - REEF: A Framework for Collecting Real-World Vulnerabilities and Fixes [40.401211102969356]
本稿では,REal-world vulnErabilities and Fixesをオープンソースリポジトリから収集するための自動収集フレームワークREEFを提案する。
脆弱性とその修正を収集する多言語クローラを開発し、高品質な脆弱性修正ペアをフィルタするためのメトリクスを設計する。
大規模な実験を通じて,我々の手法が高品質な脆弱性修正ペアを収集し,強力な説明を得られることを示す。
論文 参考訳(メタデータ) (2023-09-15T02:50:08Z) - Tracking Patches for Open Source Software Vulnerabilities [9.047724746724953]
オープンソースソフトウェア(OSS)の脆弱性は、OSSを使用するソフトウェアシステムのセキュリティを脅かす。
脆弱性データベースの情報品質に対する懸念が高まっている。
論文 参考訳(メタデータ) (2021-12-04T04:39:24Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。