論文の概要: Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures
- arxiv url: http://arxiv.org/abs/2411.07480v1
- Date: Tue, 12 Nov 2024 01:55:51 GMT
- ステータス: 翻訳完了
- システム内更新日: 2024-11-13 13:18:09.037684
- Title: Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures
- Title(参考訳): ソフトウェア脆弱性開示のタイムラインと集団反応の発見
- Authors: Yi Wen Heng, Zeyang Ma, Haoxiang Zhang, Zhenhao Li, Tse-Hsun, Chen,
- Abstract要約: Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。
35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。
ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
- 参考スコア(独自算出の注目度): 47.435076500269545
- License:
- Abstract: Reusing third-party libraries increases productivity and saves time and costs for developers. However, the downside is the presence of vulnerabilities in those libraries, which can lead to catastrophic outcomes. For instance, Apache Log4J was found to be vulnerable to remote code execution attacks. A total of more than 35,000 packages were forced to update their Log4J libraries with the latest version. Although several studies have been conducted to predict software vulnerabilities, the prediction does not cover the vulnerabilities found in third-party libraries. Even if the developers are aware of the forthcoming issue, replicating a function similar to the libraries would be time-consuming and labour-intensive. Nevertheless, it is practically reasonable for software developers to update their third-party libraries (and dependencies) whenever the software vendors have released a vulnerable-free version. In this work, our manual study focuses on the real-world practices (crowd reaction) adopted by software vendors and developer communities when a vulnerability is disclosed. We manually investigated 312 CVEs and identified that the primary trend of vulnerability handling is to provide a fix before publishing an announcement. Otherwise, developers wait an average of 10 days for a fix if it is unavailable upon the announcement. Additionally, the crowd reaction is oblivious to the vulnerability severity. In particular, we identified Oracle as the most vibrant community diligent in releasing fixes. Their software developers also actively participate in the associated vulnerability announcements.
- Abstract(参考訳): サードパーティライブラリの再利用は生産性を高め、開発者の時間とコストを削減する。
しかし、欠点はこれらのライブラリに脆弱性があることであり、破滅的な結果をもたらす可能性がある。
例えば、Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。
合計で35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。
ソフトウェア脆弱性を予測するためにいくつかの研究がなされているが、この予測はサードパーティのライブラリに見られる脆弱性をカバーしていない。
開発者がこの問題に気付いても、ライブラリに似た関数を複製するのは、時間がかかり、労力がかかります。
それでも、ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリ(と依存関係)を更新するのは、事実上妥当です。
本研究は,ソフトウェアベンダや開発者コミュニティが脆弱性を公開する際に採用する現実的なプラクティス(crowd reaction)に焦点を当てた手作業による研究である。
我々は手動で312個のCVEを調査し、脆弱性ハンドリングの主な傾向は、発表前に修正を提供することであることを確認した。
そうでなければ、発表時に利用できなければ、開発者は修正に平均10日待つことになる。
さらに、群衆の反応は、脆弱性の深刻さを損なう。
特に、Oracleは修正をリリースする上で最も活発なコミュニティの勤勉であると特定しました。
彼らのソフトウェア開発者は、関連する脆弱性の発表にも積極的に参加している。
関連論文リスト
- Seeker: Enhancing Exception Handling in Code with LLM-based Multi-Agent Approach [54.03528377384397]
現実世界のソフトウェア開発では、不適切な例外処理がコードの堅牢性と信頼性に重大な影響を与えます。
コードにおける例外処理を改善するために,大規模言語モデル (LLM) の利用について検討する。
例外処理のエキスパート開発者戦略にインスパイアされたマルチエージェントフレームワークであるSeekerを提案する。
論文 参考訳(メタデータ) (2024-10-09T14:45:45Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - Drop it All or Pick it Up? How Developers Responded to the Log4JShell Vulnerability [5.164262886682181]
われわれはLog4JShellの多種多様でおそらくその1つを探っている。
私たちの調査では、開発者は5日から6日間の迅速なレスポンスを示しています。
すべてを廃止する代わりに、驚くほど開発者の活動は、待ち望まれているすべての問題やPRに対して増加する傾向があります。
論文 参考訳(メタデータ) (2024-07-05T05:33:10Z) - WildTeaming at Scale: From In-the-Wild Jailbreaks to (Adversarially) Safer Language Models [66.34505141027624]
我々は、WildTeamingを紹介した。これは自動LLM安全リチームフレームワークで、Wild-Chatbotインタラクションをマイニングし、新しいジェイルブレイク戦術の5.7Kのユニークなクラスタを発見する。
WildTeamingは、未確認のフロンティアLSMの脆弱性を明らかにし、最大4.6倍の多様性と敵の攻撃に成功した。
論文 参考訳(メタデータ) (2024-06-26T17:31:22Z) - A Survey of Third-Party Library Security Research in Application Software [3.280510821619164]
サードパーティのライブラリが広く使われるようになると、関連するセキュリティリスクと潜在的な脆弱性がますます顕在化している。
悪意のある攻撃者は、これらの脆弱性を利用してシステムに侵入したり、不正な操作を行ったり、機密情報を盗んだりすることができる。
ソフトウェアにおけるサードパーティのライブラリの研究は、この増大するセキュリティ問題に対処する上で、最重要課題となる。
論文 参考訳(メタデータ) (2024-04-27T16:35:02Z) - How well does LLM generate security tests? [8.454827764115631]
開発者は生産性とソフトウェア品質を改善するために、しばしばサードパーティライブラリ(Lib)の上にソフトウェアを構築する。
こうした攻撃をサプライチェーン攻撃と呼び、2022年には742%増加した。
セキュリティテストを生成するためにChatGPT-4.0を使用しました。
論文 参考訳(メタデータ) (2023-10-01T16:00:58Z) - Analyzing Maintenance Activities of Software Libraries [65.268245109828]
近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。
産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
論文 参考訳(メタデータ) (2023-06-09T16:51:25Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z) - Vulnerability Propagation in Package Managers Used in iOS Development [2.9280059958992286]
脆弱性はよく知られたライブラリでも見られる。
Swiftエコシステムのライブラリ依存ネットワークは、CocoaPods、Carthage、Swift Package Managerのライブラリを含んでいる。
公開脆弱性が報告されているほとんどのライブラリはCで記述されているが、公開脆弱性の最も大きな影響は、ネイティブiOS言語で記述されたライブラリから来ている。
論文 参考訳(メタデータ) (2023-05-17T16:22:38Z) - Detecting Security Patches via Behavioral Data in Code Repositories [11.052678122289871]
Gitリポジトリ内の開発者動作のみを使用して,セキュリティパッチを自動的に識別するシステムを示す。
秘密のセキュリティパッチを88.3%、F1スコア89.8%で公開できることを示しました。
論文 参考訳(メタデータ) (2023-02-04T06:43:07Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。