論文の概要: A Deep Dive Into How Open-Source Project Maintainers Review and Resolve Bug Bounty Reports
- arxiv url: http://arxiv.org/abs/2409.07670v2
- Date: Mon, 03 Feb 2025 16:25:52 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-02-04 16:07:39.307111
- Title: A Deep Dive Into How Open-Source Project Maintainers Review and Resolve Bug Bounty Reports
- Title(参考訳): オープンソースのプロジェクトメンテナによるバグ報奨金の見直しと解決方法
- Authors: Jessy Ayala, Steven Ngo, Joshua Garcia,
- Abstract要約: 主に、バグ報奨金プラットフォームである texttthuntr を使用したオープンソースソフトウェア (OSS) メンテナの視点について検討する。
その結果,40の特徴を,メリット,課題,有用な機能,望まれる機能に分類した。
プライベートな情報開示とプロジェクトの可視性が最も重要なメリットであることに気付きました。一方、お金やCVEに焦点を当てたハンターやレビューのプレッシャーは克服するのが最も難しいのです。
- 参考スコア(独自算出の注目度): 6.814841205623832
- License:
- Abstract: Researchers have investigated the bug bounty ecosystem from the lens of platforms, programs, and bug hunters. Understanding the perspectives of bug bounty report reviewers, especially those who historically lack a security background and little to no funding for bug hunters, is currently understudied. In this paper, we primarily investigate the perspective of open-source software (OSS) maintainers who have used \texttt{huntr}, a bug bounty platform that pays bounties to bug hunters who find security bugs in GitHub projects and have had valid vulnerabilities patched as a result. We address this area by conducting three studies: identifying characteristics through a listing survey ($n_1=51$), their ranked importance with Likert-scale survey data ($n_2=90$), and conducting semi-structured interviews to dive deeper into real-world experiences ($n_3=17$). As a result, we categorize 40 identified characteristics into benefits, challenges, helpful features, and wanted features. We find that private disclosure and project visibility are the most important benefits, while hunters focused on money or CVEs and pressure to review are the most challenging to overcome. Surprisingly, lack of communication with bug hunters is the least challenging, and CVE creation support is the second-least helpful feature for OSS maintainers when reviewing bug bounty reports. We present recommendations to make the bug bounty review process more accommodating to open-source maintainers and identify areas for future work.
- Abstract(参考訳): 研究者たちは、プラットフォーム、プログラム、バグハンターのレンズからバグ報奨金エコシステムを調査した。
バグ報奨金レポートレビュアー、特に歴史的にセキュリティの背景が無く、バグハンターへの資金提供がほとんどない人たちの視点を理解することは、現在検討中である。
本稿では,GitHubプロジェクトのセキュリティバグを見つけ,結果として有効な脆弱性をパッチしたバグハンターに報奨金を支払う,バグ報奨金プラットフォームである‘texttt{huntr}’を使用したオープンソースソフトウェア(OSS)メンテナの視点を主に検討する。
本研究の課題は,リスト化調査(n_1=51$)による特徴の特定,Quatrt-scaleサーベイデータ(n_2=90$)による重要度調査(n_3=17$)による重要度調査(n_3=17$)による半構造化面接(n_3=17$)の実施である。
その結果,40の特徴を,メリット,課題,有用な機能,望まれる機能に分類した。
プライベートな情報開示とプロジェクトの可視性が最も重要なメリットであることに気付きました。一方、お金やCVEに焦点を当てたハンターやレビューのプレッシャーは克服するのが最も難しいのです。
CVE生成サポートは、バグ報奨金レポートのレビューにおいて、OSSメンテナにとって2番目に有用な機能である。
我々は,オープンソースメンテナに対して,バグ報奨金審査プロセスをより快適なものにし,今後の作業領域を特定することを推奨する。
関連論文リスト
- Investigating Vulnerability Disclosures in Open-Source Software Using Bug Bounty Reports and Security Advisories [6.814841205623832]
私たちは,GitHubのセキュリティアドバイザリ3,798件と,OSSバグ報奨金レポート4,033件について,実証的研究を行った。
OSSの脆弱性がセキュリティアドバイザリやバグ報奨金報告からどのように伝播するかを説明する明示的なプロセスは、私たちが最初に決定します。
論文 参考訳(メタデータ) (2025-01-29T16:36:41Z) - 4.5 Million (Suspected) Fake Stars in GitHub: A Growing Spiral of Popularity Contests, Scams, and Malware [58.60545935390151]
われわれはGitHubでニセの星の国際的、縦断的な測定を行った。
StarScoutは、異常な出演行動を検出するスケーラブルなツールです。
本研究は,プラットフォームモデレーター,オープンソース実践者,サプライチェーンセキュリティ研究者に影響を及ぼす。
論文 参考訳(メタデータ) (2024-12-18T03:03:58Z) - Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。
35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。
ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
論文 参考訳(メタデータ) (2024-11-12T01:55:51Z) - A Mixed-Methods Study of Open-Source Software Maintainers On Vulnerability Management and Platform Security Features [6.814841205623832]
本稿では,OSSメンテナの脆弱性管理とプラットフォームセキュリティ機能について考察する。
サプライチェーンの不信や、脆弱性管理の自動化の欠如が、最も困難であることに気付きました。
プラットフォームのセキュリティ機能を採用する上での障壁は、認識の欠如と、それらが必要ないという認識の欠如である。
論文 参考訳(メタデータ) (2024-09-12T00:15:03Z) - Artificial Bugs for Crowdsearch [0.0]
人工的なバグを挿入して、実際の(有機的な)バグを検索するインセンティブを高めることで、このようなプログラムを強化することを提案する。
このために、人工的なバグをひとつだけ挿入するだけで十分であることを示す。
論文 参考訳(メタデータ) (2024-03-14T15:27:14Z) - Studying the association between Gitcoin's issues and resolving outcomes [2.6613573097751866]
統計解析と機械学習技術を用いて,Gitcoinの賞金で4000件以上の問題を調査した。
本研究は, プロジェクトの長さ, 課題記述, 報奨額の種類, 報奨金額などの要因の重要性を明らかにする。
論文 参考訳(メタデータ) (2023-09-26T15:36:55Z) - What Happens When We Fuzz? Investigating OSS-Fuzz Bug History [0.9772968596463595]
我々は2022年3月12日までにOSS-Fuzzが公表した44,102件の問題を分析した。
コードを含むバグの発生時期を推定するために,バグ貢献のコミットを特定し,検出から修正までのタイムラインを測定した。
論文 参考訳(メタデータ) (2023-05-19T05:15:36Z) - An Exploratory Study on the Evidence of Hackathons' Role in Solving OSS
Newcomers' Challenges [54.56931759953522]
我々はOSSプロジェクトに参加する際、新参者が直面する課題を理解し、議論することを目指している。
これらの課題にどのようにハッカソンが使われたかを示す証拠を収集する。
論文 参考訳(メタデータ) (2023-05-16T15:40:19Z) - Using Developer Discussions to Guide Fixing Bugs in Software [51.00904399653609]
我々は,タスク実行前に利用可能であり,また自然発生しているバグレポートの議論を,開発者による追加情報の必要性を回避して利用することを提案する。
このような議論から派生したさまざまな自然言語コンテキストがバグ修正に役立ち、オラクルのバグ修正コミットに対応するコミットメッセージの使用よりもパフォーマンスの向上につながることを実証する。
論文 参考訳(メタデータ) (2022-11-11T16:37:33Z) - Untargeted Backdoor Watermark: Towards Harmless and Stealthy Dataset
Copyright Protection [69.59980270078067]
我々は,異常なモデル行動が決定論的でない,未目標のバックドア透かし方式を探索する。
また、提案した未ターゲットのバックドア透かしをデータセットのオーナシップ検証に利用する方法について論じる。
論文 参考訳(メタデータ) (2022-09-27T12:56:56Z) - Cross-ethnicity Face Anti-spoofing Recognition Challenge: A Review [79.49390241265337]
Chalearn Face Anti-Spoofing Detection Challengeは、シングルモーダル(例えば、RGB)とマルチモーダル(例えば、RGB、Depth、赤外線(IR))のトラックで構成されている。
本稿では,その設計,評価プロトコル,結果の概要など,課題の概要について述べる。
論文 参考訳(メタデータ) (2020-04-23T06:43:08Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。