論文の概要: A Mixed-Methods Study of Open-Source Software Maintainers On Vulnerability Management and Platform Security Features
- arxiv url: http://arxiv.org/abs/2409.07669v1
- Date: Thu, 12 Sep 2024 00:15:03 GMT
- ステータス: 処理完了
- システム内更新日: 2024-09-13 18:11:59.972895
- Title: A Mixed-Methods Study of Open-Source Software Maintainers On Vulnerability Management and Platform Security Features
- Title(参考訳): 脆弱性管理とプラットフォームセキュリティ機能に関するオープンソースソフトウェアメンテナの混合手法の検討
- Authors: Jessy Ayala, Yu-Jye Tung, Joshua Garcia,
- Abstract要約: 本稿では,OSSメンテナの脆弱性管理とプラットフォームセキュリティ機能について考察する。
サプライチェーンの不信や、脆弱性管理の自動化の欠如が、最も困難であることに気付きました。
プラットフォームのセキュリティ機能を採用する上での障壁は、認識の欠如と、それらが必要ないという認識の欠如である。
- 参考スコア(独自算出の注目度): 6.814841205623832
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: In open-source software (OSS), software vulnerabilities have significantly increased. Although researchers have investigated the perspectives of vulnerability reporters and OSS contributor security practices, understanding the perspectives of OSS maintainers on vulnerability management and platform security features is currently understudied. In this paper, we investigate the perspectives of OSS maintainers who maintain projects listed in the GitHub Advisory Database. We explore this area by conducting two studies: identifying aspects through a listing survey ($n_1=80$) and gathering insights from semi-structured interviews ($n_2=22$). Of the 37 identified aspects, we find that supply chain mistrust and lack of automation for vulnerability management are the most challenging, and barriers to adopting platform security features include a lack of awareness and the perception that they are not necessary. Surprisingly, we find that despite being previously vulnerable, some maintainers still allow public vulnerability reporting, or ignore reports altogether. Based on our findings, we discuss implications for OSS platforms and how the research community can better support OSS vulnerability management efforts.
- Abstract(参考訳): オープンソースソフトウェア(OSS)では、ソフトウェア脆弱性が大幅に増加した。
研究者は脆弱性レポーターとOSSコントリビュータのセキュリティプラクティスの観点を調査してきたが、脆弱性管理とプラットフォームセキュリティ機能に関するOSSメンテナの視点の理解は現在検討中である。
本稿では、GitHub Advisory Databaseにリストされたプロジェクトを管理するOSSメンテナの視点について検討する。
この領域を調査するために,2つの調査を行った。調査(n_1=80$)と半構造化インタビュー(n_2=22$)である。
37の特定された側面のうち、サプライチェーンの不信と脆弱性管理の自動化の欠如が最も困難であることに気付き、プラットフォームセキュリティ機能を採用する上での障壁には、認識の欠如と、それらが不要であるという認識が含まれる。
驚いたことに、以前脆弱性があったにもかかわらず、一部のメンテナーは公開脆弱性レポートを許可しているか、レポートを完全に無視している。
本研究は,OSSプラットフォームがもたらす意味と,OSS脆弱性管理の取り組みを研究コミュニティがいかに支援できるかを考察する。
関連論文リスト
- Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。
35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。
ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
論文 参考訳(メタデータ) (2024-11-12T01:55:51Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - Trust, but Verify: Evaluating Developer Behavior in Mitigating Security Vulnerabilities in Open-Source Software Projects [0.11999555634662631]
本研究では,オープンソースソフトウェア(OSS)プロジェクトの依存関係の脆弱性について検討する。
古い依存関係やメンテナンスされていない依存関係に共通する問題を特定しました。
その結果, 直接的な依存関係の削減と, 強力なセキュリティ記録を持つ高度に確立されたライブラリの優先順位付けが, ソフトウェアセキュリティの状況を改善する効果的な戦略であることが示唆された。
論文 参考訳(メタデータ) (2024-08-26T13:46:48Z) - On Security Weaknesses and Vulnerabilities in Deep Learning Systems [32.14068820256729]
具体的には、ディープラーニング(DL)フレームワークについて検討し、DLシステムにおける脆弱性に関する最初の体系的な研究を行う。
各種データベースの脆弱性パターンを探索する2ストリームデータ分析フレームワークを提案する。
我々は,脆弱性のパターンと修正の課題をよりよく理解するために,3,049個のDL脆弱性を大規模に検討した。
論文 参考訳(メタデータ) (2024-06-12T23:04:13Z) - Profile of Vulnerability Remediations in Dependencies Using Graph
Analysis [40.35284812745255]
本研究では,グラフ解析手法と改良型グラフ注意畳み込みニューラルネットワーク(GAT)モデルを提案する。
制御フローグラフを分析して、脆弱性の修正を目的とした依存性のアップグレードから発生するアプリケーションの変更をプロファイルします。
結果は、コード脆弱性のリレーショナルダイナミクスに関する微妙な洞察を提供する上で、強化されたGATモデルの有効性を示す。
論文 参考訳(メタデータ) (2024-03-08T02:01:47Z) - Chain-of-Thought Prompting of Large Language Models for Discovering and Fixing Software Vulnerabilities [21.787125867708962]
大規模言語モデル(LLM)は、様々な領域において顕著な可能性を示している。
本稿では,LLMとチェーン・オブ・シント(CoT)を利用して,3つの重要なソフトウェア脆弱性解析タスクに対処する方法について検討する。
ベースラインよりもCoTにインスパイアされたプロンプトのかなりの優位性を示します。
論文 参考訳(メタデータ) (2024-02-27T05:48:18Z) - Causative Insights into Open Source Software Security using Large
Language Code Embeddings and Semantic Vulnerability Graph [3.623199159688412]
オープンソースソフトウェア(OSS)の脆弱性は、不正アクセス、データ漏洩、ネットワーク障害、プライバシー侵害を引き起こす可能性がある。
最近のディープラーニング技術は、ソースコードの脆弱性を特定し、ローカライズする上で大きな可能性を示しています。
本研究は,従来の方法に比べてコード修復能力が24%向上したことを示す。
論文 参考訳(メタデータ) (2024-01-13T10:33:22Z) - REEF: A Framework for Collecting Real-World Vulnerabilities and Fixes [40.401211102969356]
本稿では,REal-world vulnErabilities and Fixesをオープンソースリポジトリから収集するための自動収集フレームワークREEFを提案する。
脆弱性とその修正を収集する多言語クローラを開発し、高品質な脆弱性修正ペアをフィルタするためのメトリクスを設計する。
大規模な実験を通じて,我々の手法が高品質な脆弱性修正ペアを収集し,強力な説明を得られることを示す。
論文 参考訳(メタデータ) (2023-09-15T02:50:08Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z) - Tracking Patches for Open Source Software Vulnerabilities [9.047724746724953]
オープンソースソフトウェア(OSS)の脆弱性は、OSSを使用するソフトウェアシステムのセキュリティを脅かす。
脆弱性データベースの情報品質に対する懸念が高まっている。
論文 参考訳(メタデータ) (2021-12-04T04:39:24Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。