論文の概要: On Categorizing Open Source Software Security Vulnerability Reporting Mechanisms on GitHub

• arxiv url: http://arxiv.org/abs/2502.07395v2
• Date: Wed, 12 Feb 2025 08:12:03 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-02-13 13:49:40.628071
• Title: On Categorizing Open Source Software Security Vulnerability Reporting Mechanisms on GitHub
• Title（参考訳）: GitHubのオープンソースソフトウェアセキュリティ脆弱性レポートメカニズムの分類について
• Authors: Sushawapak Kancharoendee, Thanat Phichitphanphong, Chanikarn Jongyingyos, Brittany Reid, Raula Gaikovina Kula, Morakot Choetkiertikul, Chaiyong Ragkhitwetsagul, Thanwadee Sunetnanta,
• Abstract要約: オープンソースプロジェクトはソフトウェア開発に不可欠だが、修正なしで脆弱性を公表することは、エクスプロイトのリスクを増大させる。 OpenSSF(Open Source Security Foundation)は、プロジェクトセキュリティを強化するための堅牢なセキュリティポリシーを促進することでこの問題に対処している。 現在の調査では、多くのプロジェクトがOpenSSFの基準で不十分なパフォーマンスを示しており、より強力なセキュリティプラクティスの必要性を示している。
• 参考スコア（独自算出の注目度）: 1.7174932174564534
• License:
• Abstract: Open-source projects are essential to software development, but publicly disclosing vulnerabilities without fixes increases the risk of exploitation. The Open Source Security Foundation (OpenSSF) addresses this issue by promoting robust security policies to enhance project security. Current research reveals that many projects perform poorly on OpenSSF criteria, indicating a need for stronger security practices and underscoring the value of SECURITY$.$md files for structured vulnerability reporting. This study aims to provide recommendations for improving security policies. By examining 679 open-source projects, we find that email is still the main source of reporting. Furthermore, we find that projects without SECURITY$.$md files tend to be less secure (lower OpenSSF scores). Our analysis also indicates that, although many maintainers encourage private reporting methods, some contributors continue to disclose vulnerabilities publicly, bypassing established protocols. The results from this preliminary study pave the way for understanding how developers react and communicate a potential security threat. Future challenges include understanding the impact and effectiveness of these mechanisms and what factors may influence how the security threat is addressed.
• Abstract（参考訳）: オープンソースプロジェクトはソフトウェア開発に不可欠だが、修正なしで脆弱性を公表することは、エクスプロイトのリスクを増大させる。 OpenSSF(Open Source Security Foundation)は、プロジェクトセキュリティを強化するための堅牢なセキュリティポリシーを促進することでこの問題に対処している。 現在の調査では、多くのプロジェクトがOpenSSFの基準で不十分なパフォーマンスを示し、より強力なセキュリティプラクティスの必要性を示し、SECURITY$.comの価値を裏付けている。 構造化脆弱性レポート用の$mdファイル。 本研究は、セキュリティポリシー改善のための勧告を提供することを目的とする。 679のオープンソースプロジェクトを調べることで、メールが依然として主要なレポートソースであることがわかった。 さらに、SECURITY$のないプロジェクトもあります。 $mdファイルは安全性が低い傾向がある(より低いOpenSSFスコア)。 我々の分析は、多くのメンテナがプライベートレポート手法を奨励しているが、一部のコントリビュータは、確立したプロトコルをバイパスして、脆弱性を公開し続けていることを示唆している。 この予備研究の結果は、開発者がどのように反応し、潜在的なセキュリティ脅威と通信するかを理解するための道を開いた。 今後の課題には、これらのメカニズムの影響と有効性、そしてセキュリティの脅威への対処方法にどんな影響を及ぼすかを理解することが含まれる。

関連論文リスト

• Investigating Vulnerability Disclosures in Open-Source Software Using Bug Bounty Reports and Security Advisories [6.814841205623832]
  私たちは,GitHubのセキュリティアドバイザリ3,798件と,OSSバグ報奨金レポート4,033件について,実証的研究を行った。 OSSの脆弱性がセキュリティアドバイザリやバグ報奨金報告からどのように伝播するかを説明する明示的なプロセスは、私たちが最初に決定します。
  論文  参考訳（メタデータ） (2025-01-29T16:36:41Z)
• The potential of LLM-generated reports in DevSecOps [3.4888132404740797]
  アラート疲労は、DevSecOpsパラダイムを使用してソフトウェアチームが直面する一般的な問題である。 本稿では,LCMが実用的なセキュリティレポートを生成する可能性について検討する。 DevSecOpsにこれらのレポートを統合することで、注意の飽和と警告疲労を軽減することができる。
  論文  参考訳（メタデータ） (2024-10-02T18:01:12Z)
• A Mixed-Methods Study of Open-Source Software Maintainers On Vulnerability Management and Platform Security Features [6.814841205623832]
  本稿では,OSSメンテナの脆弱性管理とプラットフォームセキュリティ機能について考察する。 サプライチェーンの不信や、脆弱性管理の自動化の欠如が、最も困難であることに気付きました。 プラットフォームのセキュリティ機能を採用する上での障壁は、認識の欠如と、それらが必要ないという認識の欠如である。
  論文  参考訳（メタデータ） (2024-09-12T00:15:03Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• Trust, but Verify: Evaluating Developer Behavior in Mitigating Security Vulnerabilities in Open-Source Software Projects [0.11999555634662631]
  本研究では,オープンソースソフトウェア(OSS)プロジェクトの依存関係の脆弱性について検討する。 古い依存関係やメンテナンスされていない依存関係に共通する問題を特定しました。 その結果, 直接的な依存関係の削減と, 強力なセキュリティ記録を持つ高度に確立されたライブラリの優先順位付けが, ソフトウェアセキュリティの状況を改善する効果的な戦略であることが示唆された。
  論文  参考訳（メタデータ） (2024-08-26T13:46:48Z)
• Breach By A Thousand Leaks: Unsafe Information Leakage in `Safe' AI Responses [42.136793654338106]
  モデル出力の不可避な情報漏洩に基づく新しい安全性評価フレームワークを提案する。 我々は,情報検閲の安全性を確保するために,防衛機構が情報検閲を確実にする必要があることを示す。
  論文  参考訳（メタデータ） (2024-07-02T16:19:25Z)
• Rethinking the Vulnerabilities of Face Recognition Systems:From a Practical Perspective [53.24281798458074]
  顔認識システム(FRS)は、監視やユーザー認証を含む重要なアプリケーションにますます統合されている。 最近の研究によると、FRSの脆弱性は敵(例えば、敵パッチ攻撃)やバックドア攻撃(例えば、データ中毒の訓練)であることが明らかになっている。
  論文  参考訳（メタデータ） (2024-05-21T13:34:23Z)
• Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
  ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。 我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
  論文  参考訳（メタデータ） (2024-05-03T07:18:45Z)
• Benchmarking and Defending Against Indirect Prompt Injection Attacks on Large Language Models [79.0183835295533]
  我々は,このような脆弱性のリスクを評価するために,BIPIAと呼ばれる間接的インジェクション攻撃のための最初のベンチマークを導入した。 我々の分析では、LLMが情報コンテキストと動作可能な命令を区別できないことと、外部コンテンツ内での命令の実行を回避できないことの2つの主要な要因を同定した。 ブラックボックスとホワイトボックスという2つの新しい防御機構と、これらの脆弱性に対処するための明確なリマインダーを提案する。
  論文  参考訳（メタデータ） (2023-12-21T01:08:39Z)
• Do Software Security Practices Yield Fewer Vulnerabilities? [6.6840472845873276]
  本研究の目的は、専門家や研究者がどのセキュリティプラクティスを採用するべきかを判断するのを支援することである。 4つのセキュリティプラクティスが、脆弱性数に影響を与える最も重要なプラクティスでした。 パッケージの総セキュリティスコアが増加するにつれて、報告された脆弱性の数は減少した。
  論文  参考訳（メタデータ） (2022-10-20T20:04:02Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。