論文の概要: Investigating Vulnerability Disclosures in Open-Source Software Using Bug Bounty Reports and Security Advisories

• arxiv url: http://arxiv.org/abs/2501.17748v1
• Date: Wed, 29 Jan 2025 16:36:41 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-01-30 15:54:51.878954
• Title: Investigating Vulnerability Disclosures in Open-Source Software Using Bug Bounty Reports and Security Advisories
• Title（参考訳）: Bug Bounty ReportsとSecurity Advisoriesを用いたオープンソースソフトウェアにおける脆弱性開示の調査
• Authors: Jessy Ayala, Yu-Jye Tung, Joshua Garcia,
• Abstract要約: 私たちは,GitHubのセキュリティアドバイザリ3,798件と,OSSバグ報奨金レポート4,033件について,実証的研究を行った。 OSSの脆弱性がセキュリティアドバイザリやバグ報奨金報告からどのように伝播するかを説明する明示的なプロセスは、私たちが最初に決定します。
• 参考スコア（独自算出の注目度）: 6.814841205623832
• License:
• Abstract: In the world of open-source software (OSS), the number of known vulnerabilities has tremendously increased. The GitHub Advisory Database contains advisories for security risks in GitHub-hosted OSS projects. As of 09/25/2023, there are 197,609 unreviewed GitHub security advisories. Of those unreviewed, at least 63,852 are publicly documented vulnerabilities, potentially leaving many OSS projects vulnerable. Recently, bug bounty platforms have emerged to focus solely on providing bounties to help secure OSS. In this paper, we conduct an empirical study on 3,798 reviewed GitHub security advisories and 4,033 disclosed OSS bug bounty reports, a perspective that is currently understudied, because they contain comprehensive information about security incidents, e.g., the nature of vulnerabilities, their impact, and how they were resolved. We are the first to determine the explicit process describing how OSS vulnerabilities propagate from security advisories and bug bounty reports, which are the main intermediaries between vulnerability reporters, OSS maintainers, and dependent projects, to vulnerable OSS projects and entries in global vulnerability databases and possibly back. This process uncovers how missing or delayed CVE assignments for OSS vulnerabilities result in projects, both in and out of OSS, not being notified of necessary security updates promptly and corresponding bottlenecks. Based on our findings, we provide suggestions, actionable items, and future research directions to help improve the security posture of OSS projects.
• Abstract（参考訳）: オープンソースソフトウェア(OSS)の世界では、既知の脆弱性の数が非常に増えている。 GitHub Advisory Databaseには、GitHubがホストするOSSプロジェクトにおけるセキュリティリスクに関するアドバイザリが含まれている。 09/25/2023の時点で、GitHubのセキュリティアドバイザリは197,609名である。 レビューされていないもののうち、少なくとも63,852は公開文書の脆弱性であり、OSSプロジェクトの脆弱性が残っている可能性がある。 最近、バグ報奨金プラットフォームが登場し、OSSをセキュアにするための報奨金の提供にのみ焦点が当てられている。 本稿では,3,798件のGitHubセキュリティアドバイザリと4,033件のOSSバグ報奨金報告に関する実証的研究を行った。 私たちは、OSS脆弱性がセキュリティアドバイザリやバグ報奨金レポートから、脆弱性レポーターやOSSメンテナ、依存するプロジェクトの主な仲介者である、セキュリティアドバイザリやバグ報奨金レポートから、脆弱性のあるOSSプロジェクトやグローバルな脆弱性データベースへのエントリへどのように伝播するかを、初めて明確に定義しています。 このプロセスは、OSS脆弱性に対するCVEの割り当ての欠如や遅延が、OSS内外のプロジェクトにおいて、必要なセキュリティアップデートとそれに対応するボトルネックをすぐに通知されない結果をもたらすことを明らかにしている。 本研究は,OSSプロジェクトのセキュリティ姿勢を改善するための提案,行動可能な項目,今後の研究方向性について述べる。

関連論文リスト

• Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
  Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。 35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。 ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
  論文  参考訳（メタデータ） (2024-11-12T01:55:51Z)
• A Mixed-Methods Study of Open-Source Software Maintainers On Vulnerability Management and Platform Security Features [6.814841205623832]
  本稿では,OSSメンテナの脆弱性管理とプラットフォームセキュリティ機能について考察する。 サプライチェーンの不信や、脆弱性管理の自動化の欠如が、最も困難であることに気付きました。 プラットフォームのセキュリティ機能を採用する上での障壁は、認識の欠如と、それらが必要ないという認識の欠如である。
  論文  参考訳（メタデータ） (2024-09-12T00:15:03Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• Trust, but Verify: Evaluating Developer Behavior in Mitigating Security Vulnerabilities in Open-Source Software Projects [0.11999555634662631]
  本研究では,オープンソースソフトウェア(OSS)プロジェクトの依存関係の脆弱性について検討する。 古い依存関係やメンテナンスされていない依存関係に共通する問題を特定しました。 その結果, 直接的な依存関係の削減と, 強力なセキュリティ記録を持つ高度に確立されたライブラリの優先順位付けが, ソフトウェアセキュリティの状況を改善する効果的な戦略であることが示唆された。
  論文  参考訳（メタデータ） (2024-08-26T13:46:48Z)
• ARVO: Atlas of Reproducible Vulnerabilities for Open Source Software [20.927909014593318]
  オープンソースソフトウェアでは,ARVO:Atlas of Reproducible Vulnerabilitiesを紹介した。 250以上のプロジェクトにわたって5,000以上のメモリ脆弱性を再現しています。 OSS-Fuzzが新たな脆弱性を見つけると、データセットは自動的に更新されます。
  論文  参考訳（メタデータ） (2024-08-04T22:13:14Z)
• Rethinking the Vulnerabilities of Face Recognition Systems:From a Practical Perspective [53.24281798458074]
  顔認識システム(FRS)は、監視やユーザー認証を含む重要なアプリケーションにますます統合されている。 最近の研究によると、FRSの脆弱性は敵(例えば、敵パッチ攻撃)やバックドア攻撃(例えば、データ中毒の訓練)であることが明らかになっている。
  論文  参考訳（メタデータ） (2024-05-21T13:34:23Z)
• SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
  我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。 SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。 我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
  論文  参考訳（メタデータ） (2023-09-26T08:11:38Z)
• An Exploratory Study on the Evidence of Hackathons' Role in Solving OSS Newcomers' Challenges [54.56931759953522]
  我々はOSSプロジェクトに参加する際、新参者が直面する課題を理解し、議論することを目指している。 これらの課題にどのようにハッカソンが使われたかを示す証拠を収集する。
  論文  参考訳（メタデータ） (2023-05-16T15:40:19Z)
• Detecting Security Patches via Behavioral Data in Code Repositories [11.052678122289871]
  Gitリポジトリ内の開発者動作のみを使用して,セキュリティパッチを自動的に識別するシステムを示す。 秘密のセキュリティパッチを88.3%、F1スコア89.8%で公開できることを示しました。
  論文  参考訳（メタデータ） (2023-02-04T06:43:07Z)
• Tracking Patches for Open Source Software Vulnerabilities [9.047724746724953]
  オープンソースソフトウェア(OSS)の脆弱性は、OSSを使用するソフトウェアシステムのセキュリティを脅かす。 脆弱性データベースの情報品質に対する懸念が高まっている。
  論文  参考訳（メタデータ） (2021-12-04T04:39:24Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。