論文の概要: Augmenting Software Bills of Materials with Software Vulnerability Description: A Preliminary Study on GitHub
- arxiv url: http://arxiv.org/abs/2503.13998v1
- Date: Tue, 18 Mar 2025 08:04:22 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-03-19 14:17:16.057543
- Title: Augmenting Software Bills of Materials with Software Vulnerability Description: A Preliminary Study on GitHub
- Title(参考訳): ソフトウェア脆弱性記述による材料のソフトウェア法案の拡大: GitHubに関する予備的研究
- Authors: Davide Fucci, Massimiliano Di Penta, Simone Romano, Giuseppe Scannielllo,
- Abstract要約: 本稿では,40のオープンソースプロジェクトのSBOMに共通脆弱性と露出に関する情報を付加する予備研究の結果を報告する。
当社の強化されたSBOMは、プルリクエストを提出し、プロジェクトオーナーに調査への回答を求めることで評価されています。
ほとんどの場合、SBOMの更新を継続する必要があるため、拡張SBOMは直接受け入れられなかったが、受信したフィードバックは、提案されたSBOM拡張の有用性を示している。
- 参考スコア(独自算出の注目度): 8.727176816793179
- License:
- Abstract: Software Bills of Material (SBOMs) are becoming a consolidated, often enforced by governmental regulations, way to describe software composition. However, based on recent studies, SBOMs suffer from limited support for their consumption and lack information beyond simple dependencies, especially regarding software vulnerabilities. This paper reports the results of a preliminary study in which we augmented SBOMs of 40 open-source projects with information about Common Vulnerabilities and Exposures (CVE) exposed by project dependencies. Our augmented SBOMs have been evaluated by submitting pull requests and by asking project owners to answer a survey. Although, in most cases, augmented SBOMs were not directly accepted because owners required a continuous SBOM update, the received feedback shows the usefulness of the suggested SBOM augmentation.
- Abstract(参考訳): ソフトウェア・ビル・オブ・マテリアル(SBOM)は、ソフトウェア構成を記述するための政府の規則によって、統合され、しばしば施行される。
しかし、最近の研究によると、SBOMは消費に対するサポートが限られており、特にソフトウェア脆弱性に関して、単純な依存関係以上の情報が欠落している。
本稿では,40のオープンソースプロジェクトのSBOMを,プロジェクトの依存関係によって暴露される共通脆弱性と露出(CVE)に関する情報で拡張する予備研究の結果を報告する。
当社の強化されたSBOMは、プルリクエストを提出し、プロジェクトオーナーに調査への回答を求めることで評価されています。
ほとんどの場合、SBOMの更新を継続する必要があるため、拡張SBOMは直接受け入れられなかったが、受信したフィードバックは、提案されたSBOM拡張の有用性を示している。
関連論文リスト
- SBOM Challenges for Developers: From Analysis of Stack Overflow Questions [2.1122022139737426]
SBOMの使用に関する解決された質問の比率は15.0%であり、非常に低い。
新しい質問の数は2020年から2023年にかけて着実に増えている。
SBOMユーザには、SBOMツールに3つの大きな課題がある。
論文 参考訳(メタデータ) (2025-02-06T11:08:29Z) - Supply Chain Insecurity: The Lack of Integrity Protection in SBOM Solutions [0.0]
SBOM(Software Bill of Materials)は、ソフトウェアサプライチェーンのセキュリティを確保するための最重要事項である。
ビデン大統領が発した大統領令により、SBOMの採用は米国内で義務化されている。
本研究は,SBOMの完全性に関する詳細な,体系的な研究である。
論文 参考訳(メタデータ) (2024-12-06T15:52:12Z) - An Overview and Catalogue of Dependency Challenges in Open Source Software Package Registries [52.23798016734889]
この記事では、OSSパッケージやライブラリに依存する依存関係関連の課題のカタログを提供する。
このカタログは、これらの課題を理解し、定量化し、克服するために行われた経験的研究に関する科学文献に基づいている。
論文 参考訳(メタデータ) (2024-09-27T16:20:20Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - How to Understand Whole Software Repository? [64.19431011897515]
リポジトリ全体に対する優れた理解は、自動ソフトウェアエンジニアリング(ASE)への重要な道になるでしょう。
本研究では,リポジトリ全体を包括的に理解するためのエージェントによるRepoUnderstanderという新しい手法を開発した。
リポジトリレベルの知識をより活用するために、エージェントをまとめ、分析し、計画する。
論文 参考訳(メタデータ) (2024-06-03T15:20:06Z) - UniRAG: Universal Retrieval Augmentation for Large Vision Language Models [76.30799731147589]
そこで,UniRAGというプラグイン・アンド・プレイ技術を紹介した。
Retrieval Augmentation(RA)は、主に非一般的なエンティティの生成や理解を改善するという一般的な信念とは異なり、MSCOCOデータセットの共通エンティティによる評価結果は、プロプライエタリモデルとより小さなオープンソースモデルの両方が生成品質を著しく向上させることを示している。
論文 参考訳(メタデータ) (2024-05-16T17:58:45Z) - How Much are Large Language Models Contaminated? A Comprehensive Survey and the LLMSanitize Library [68.10605098856087]
大規模言語モデル(LLM)は、ビジネスアプリケーションやAIの資金調達でますます利用されている。
LLMの性能は、データへの以前の露出のために、少なくとも部分的には高性能である可能性があるため、もはや信頼性が低い可能性がある。
我々はLLMSanitizeというオープンソースのPythonライブラリをリリースし、主要な汚染検知アルゴリズムを実装した。
論文 参考訳(メタデータ) (2024-03-31T14:32:02Z) - A Landscape Study of Open Source and Proprietary Tools for Software Bill
of Materials (SBOM) [3.1190983209295076]
Software Bill of Materials (SBOM) は、アプリケーションで使用されるすべてのサードパーティのコンポーネントと依存関係を在庫するリポジトリである。
最近のサプライチェーンの侵害は、ソフトウェアのセキュリティと脆弱性のリスクを高める緊急の必要性を浮き彫りにしている。
本研究では,SBOMに関連するオープンソースおよびプロプライエタリツールの現在の状況を評価するための実証分析を行う。
論文 参考訳(メタデータ) (2024-02-17T00:36:20Z) - BOMs Away! Inside the Minds of Stakeholders: A Comprehensive Study of
Bills of Materials for Software Systems [11.719062411327952]
Software Bills of Materials (SBOM) は、ソフトウェア依存関係、脆弱性、ライセンス、サプライチェーンの管理を容易にするツールとして登場した。
近年の研究では、SBOMはいまだにまだ十分に採用されていない初期の技術であることが示されている。
SBOMのコンテンツ作成と利用に直面する12の課題,SBOMツールの欠陥,SBOMのメンテナンスと検証,ドメイン固有の課題などを特定する。
論文 参考訳(メタデータ) (2023-09-21T16:11:00Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。