論文の概要: A Deep Dive Into How Open-Source Project Maintainers Review and Resolve Bug Bounty Reports
- arxiv url: http://arxiv.org/abs/2409.07670v1
- Date: Thu, 12 Sep 2024 00:15:21 GMT
- ステータス: 処理完了
- システム内更新日: 2024-09-13 18:11:59.969642
- Title: A Deep Dive Into How Open-Source Project Maintainers Review and Resolve Bug Bounty Reports
- Title(参考訳): オープンソースのプロジェクトメンテナによるバグ報奨金の見直しと解決方法
- Authors: Jessy Ayala, Steven Ngo, Joshua Garcia,
- Abstract要約: 主に、バグ報奨金プラットフォームである texttthuntr を使用したオープンソースソフトウェア (OSS) メンテナの視点について検討する。
その結果,40の特徴を,メリット,課題,有用な機能,望まれる機能に分類した。
プライベートな情報開示とプロジェクトの可視性が最も重要なメリットであることに気付きました。一方、お金やCVEに焦点を当てたハンターやレビューのプレッシャーは克服するのが最も難しいのです。
- 参考スコア(独自算出の注目度): 6.814841205623832
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Researchers have investigated the bug bounty ecosystem from the lens of platforms, programs, and bug hunters. Understanding the perspectives of bug bounty report reviewers, especially those who historically lack a security background and little to no funding for bug hunters, is currently understudied. In this paper, we primarily investigate the perspective of open-source software (OSS) maintainers who have used \texttt{huntr}, a bug bounty platform that pays bounties to bug hunters who find security bugs in GitHub projects and have had valid vulnerabilities patched as a result. We address this area by conducting three studies: identifying characteristics through a listing survey ($n_1=51$), their ranked importance with Likert-scale survey data ($n_2=90$), and conducting semi-structured interviews to dive deeper into real-world experiences ($n_3=17$). As a result, we categorize 40 identified characteristics into benefits, challenges, helpful features, and wanted features. We find that private disclosure and project visibility are the most important benefits, while hunters focused on money or CVEs and pressure to review are the most challenging to overcome. Surprisingly, lack of communication with bug hunters is the least challenging, and CVE creation support is the second-least helpful feature for OSS maintainers when reviewing bug bounty reports. We present recommendations to make the bug bounty review process more accommodating to open-source maintainers and identify areas for future work.
- Abstract(参考訳): 研究者たちは、プラットフォーム、プログラム、バグハンターのレンズからバグ報奨金エコシステムを調査した。
バグ報奨金レポートレビュアー、特に歴史的にセキュリティの背景が無く、バグハンターへの資金提供がほとんどない人たちの視点を理解することは、現在検討中である。
本稿では,GitHubプロジェクトのセキュリティバグを見つけ,結果として有効な脆弱性をパッチしたバグハンターに報奨金を支払う,バグ報奨金プラットフォームである‘texttt{huntr}’を使用したオープンソースソフトウェア(OSS)メンテナの視点を主に検討する。
本研究の課題は,リスト化調査(n_1=51$)による特徴の特定,Quatrt-scaleサーベイデータ(n_2=90$)による重要度調査(n_3=17$)による重要度調査(n_3=17$)による半構造化面接(n_3=17$)の実施である。
その結果,40の特徴を,メリット,課題,有用な機能,望まれる機能に分類した。
プライベートな情報開示とプロジェクトの可視性が最も重要なメリットであることに気付きました。一方、お金やCVEに焦点を当てたハンターやレビューのプレッシャーは克服するのが最も難しいのです。
CVE生成サポートは、バグ報奨金レポートのレビューにおいて、OSSメンテナにとって2番目に有用な機能である。
我々は,オープンソースメンテナに対して,バグ報奨金審査プロセスをより快適なものにし,今後の作業領域を特定することを推奨する。
関連論文リスト
- Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。
35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。
ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
論文 参考訳(メタデータ) (2024-11-12T01:55:51Z) - A Mixed-Methods Study of Open-Source Software Maintainers On Vulnerability Management and Platform Security Features [6.814841205623832]
本稿では,OSSメンテナの脆弱性管理とプラットフォームセキュリティ機能について考察する。
サプライチェーンの不信や、脆弱性管理の自動化の欠如が、最も困難であることに気付きました。
プラットフォームのセキュリティ機能を採用する上での障壁は、認識の欠如と、それらが必要ないという認識の欠如である。
論文 参考訳(メタデータ) (2024-09-12T00:15:03Z) - Artificial Bugs for Crowdsearch [0.0]
人工的なバグを挿入して、実際の(有機的な)バグを検索するインセンティブを高めることで、このようなプログラムを強化することを提案する。
このために、人工的なバグをひとつだけ挿入するだけで十分であることを示す。
論文 参考訳(メタデータ) (2024-03-14T15:27:14Z) - Studying the association between Gitcoin's issues and resolving outcomes [2.6613573097751866]
統計解析と機械学習技術を用いて,Gitcoinの賞金で4000件以上の問題を調査した。
本研究は, プロジェクトの長さ, 課題記述, 報奨額の種類, 報奨金額などの要因の重要性を明らかにする。
論文 参考訳(メタデータ) (2023-09-26T15:36:55Z) - What Happens When We Fuzz? Investigating OSS-Fuzz Bug History [0.9772968596463595]
我々は2022年3月12日までにOSS-Fuzzが公表した44,102件の問題を分析した。
コードを含むバグの発生時期を推定するために,バグ貢献のコミットを特定し,検出から修正までのタイムラインを測定した。
論文 参考訳(メタデータ) (2023-05-19T05:15:36Z) - An Exploratory Study on the Evidence of Hackathons' Role in Solving OSS
Newcomers' Challenges [54.56931759953522]
我々はOSSプロジェクトに参加する際、新参者が直面する課題を理解し、議論することを目指している。
これらの課題にどのようにハッカソンが使われたかを示す証拠を収集する。
論文 参考訳(メタデータ) (2023-05-16T15:40:19Z) - Using Developer Discussions to Guide Fixing Bugs in Software [51.00904399653609]
我々は,タスク実行前に利用可能であり,また自然発生しているバグレポートの議論を,開発者による追加情報の必要性を回避して利用することを提案する。
このような議論から派生したさまざまな自然言語コンテキストがバグ修正に役立ち、オラクルのバグ修正コミットに対応するコミットメッセージの使用よりもパフォーマンスの向上につながることを実証する。
論文 参考訳(メタデータ) (2022-11-11T16:37:33Z) - Untargeted Backdoor Watermark: Towards Harmless and Stealthy Dataset
Copyright Protection [69.59980270078067]
我々は,異常なモデル行動が決定論的でない,未目標のバックドア透かし方式を探索する。
また、提案した未ターゲットのバックドア透かしをデータセットのオーナシップ検証に利用する方法について論じる。
論文 参考訳(メタデータ) (2022-09-27T12:56:56Z) - DapStep: Deep Assignee Prediction for Stack Trace Error rePresentation [61.99379022383108]
本稿では,バグトリアージ問題を解決するための新しいディープラーニングモデルを提案する。
モデルは、注目された双方向のリカレントニューラルネットワークと畳み込みニューラルネットワークに基づいている。
ランキングの質を向上させるために,バージョン管理システムのアノテーションから追加情報を利用することを提案する。
論文 参考訳(メタデータ) (2022-01-14T00:16:57Z) - Early Detection of Security-Relevant Bug Reports using Machine Learning:
How Far Are We? [6.438136820117887]
典型的なメンテナンスシナリオでは、セキュリティ関連バグレポートは、修正パッチを作成する際に開発チームによって優先される。
オープンなセキュリティ関連バグレポートは、攻撃者がゼロデイ攻撃を実行するために活用できる機密情報の重大な漏洩になる可能性がある。
近年,機械学習に基づくセキュリティ関連バグレポートの検出手法が,有望な性能で報告されている。
論文 参考訳(メタデータ) (2021-12-19T11:30:29Z) - Cross-ethnicity Face Anti-spoofing Recognition Challenge: A Review [79.49390241265337]
Chalearn Face Anti-Spoofing Detection Challengeは、シングルモーダル(例えば、RGB)とマルチモーダル(例えば、RGB、Depth、赤外線(IR))のトラックで構成されている。
本稿では,その設計,評価プロトコル,結果の概要など,課題の概要について述べる。
論文 参考訳(メタデータ) (2020-04-23T06:43:08Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。