論文の概要: Vexed by VEX tools: Consistency evaluation of container vulnerability scanners

• arxiv url: http://arxiv.org/abs/2503.14388v1
• Date: Tue, 18 Mar 2025 16:22:43 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-03-19 14:13:55.867473
• Title: Vexed by VEX tools: Consistency evaluation of container vulnerability scanners
• Title（参考訳）: VEXツールによるVexed:コンテナ脆弱性スキャナの一貫性評価
• Authors: Yekatierina Churakova Mathias Ekstedt,
• Abstract要約: 本稿では,コンテナに適用された最先端の脆弱性スキャンツールについて検討する。 Vulnerability Exploitability eXchange (VEX) フォーマットに従うツールの開発に注力しています。
• 参考スコア（独自算出の注目度）: 0.0
• License:
• Abstract: This paper presents a study that analyzed state-of-the-art vulnerability scanning tools applied to containers. We have focused the work on tools following the Vulnerability Exploitability eXchange (VEX) format, which has been introduced to complement Software Bills of Material (SBOM) with security advisories of known vulnerabilities. Being able to get an accurate understanding of vulnerabilities found in the dependencies of third-party software is critical for secure software development and risk analysis. Accepting the overwhelming challenge of estimating the precise accuracy and precision of a vulnerability scanner, we have in this study instead set out to explore how consistently different tools perform. By doing this, we aim to assess the maturity of the VEX tool field as a whole (rather than any particular tool). We have used the Jaccard and Tversky indices to produce similarity scores of tool performance for several different datasets created from container images. Overall, our results show a low level of consistency among the tools, thus indicating a low level of maturity in VEX tool space. We have performed a number of experiments to find and explanation to our results, but largely they are inconclusive and further research is needed to understand the underlying causalities of our findings.
• Abstract（参考訳）: 本稿では,コンテナに適用された最先端の脆弱性スキャンツールについて検討する。 我々は、Vulnerability Exploitability eXchange (VEX)フォーマットに従って、既知の脆弱性のセキュリティアドバイザリとSoftware Bills of Materials (SBOM)を補完するために導入されたツールに焦点を合わせてきた。 サードパーティソフトウェアの依存関係にある脆弱性を正確に理解できることは、セキュアなソフトウェア開発とリスク分析に不可欠である。 脆弱性スキャナの精度と精度を推定する圧倒的な課題を受け入れて、私たちはその代わりに、異なるツールがいかに一貫して機能するかを調査することにしました。 これを行うことで、VEXツール分野の成熟度を(特定のツールではなく)全体として評価することを目指している。 JaccardとTverskyのインデックスを使用して、コンテナイメージから生成されたいくつかの異なるデータセットに対して、ツールパフォーマンスの類似度スコアを生成しました。 その結果,ツール間の整合性は低く,VEXツール空間の成熟度は低かった。 結果の発見と説明には数多くの実験を実施してきたが、大部分は決定的ではなく、その根底にある因果関係を理解するためにはさらなる研究が必要である。

関連論文リスト

• Adaptive Tool Use in Large Language Models with Meta-Cognition Trigger [49.81945268343162]
  我々は,外部ツール利用のための適応型意思決定戦略であるMeCoを提案する。 MeCoは表現空間の高レベル認知信号をキャプチャし、ツールを呼び出すタイミングを指示する。 実験の結果,MeCoはLSMの内部認知信号を正確に検出し,ツール使用による意思決定を大幅に改善することがわかった。
  論文  参考訳（メタデータ） (2025-02-18T15:45:01Z)
• A Comprehensive Study on Static Application Security Testing (SAST) Tools for Android [22.558610938860124]
  VulsTotalは、ツールがサポートする脆弱性タイプを定義し記述するための統合評価プラットフォームである。 我々は97のオプションのプールから11のオープンソースSASTツールを選択し、明確に定義された基準に従っています。 次に、Android SASTツールの一般/一般的な脆弱性タイプ67を統一します。
  論文  参考訳（メタデータ） (2024-10-28T05:10:22Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• LUCID: A Framework for Reducing False Positives and Inconsistencies Among Container Scanning Tools [0.0]
  本稿では,複数のスキャンツールによって提供される偽陽性や不整合を低減できるLUCIDというフレームワークを提案する。 その結果,我々のフレームワークは不整合を70%削減できることがわかった。 また、異なる重大度レベルを84%の精度で分類し、予測できる動的分類コンポーネントを作成します。
  論文  参考訳（メタデータ） (2024-05-11T16:58:28Z)
• Identifying the Risks of LM Agents with an LM-Emulated Sandbox [68.26587052548287]
  言語モデル(LM)エージェントとツールは、豊富な機能セットを可能にすると同時に、潜在的なリスクを増幅する。 これらのエージェントを高いコストでテストすることは、高いリスクと長い尾のリスクを見つけるのをますます困難にします。 ツール実行をエミュレートするためにLMを使用し、さまざまなツールやシナリオに対してLMエージェントのテストを可能にするフレームワークであるToolEmuを紹介します。
  論文  参考訳（メタデータ） (2023-09-25T17:08:02Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)
• A Comprehensive Study on Quality Assurance Tools for Java [15.255117038871337]
  品質保証(QA)ツールはますます注目を集めており、開発者に広く利用されている。 既存の研究は以下の方法で制限されている。 彼らは、スキャニングルール分析を考慮せずにツールを比較します。 研究方法論とベンチマークデータセットのため、ツールの有効性については意見が一致していない。 時間性能の分析に関する大規模な研究は行われていない。
  論文  参考訳（メタデータ） (2023-05-26T10:48:02Z)
• AIBugHunter: A Practical Tool for Predicting, Classifying and Repairing Software Vulnerabilities [27.891905729536372]
  AIBugHunterは、C/C++言語用のMLベースのソフトウェア脆弱性分析ツールで、Visual Studio Codeに統合されている。 本稿では,新たな多目的最適化(MOO)に基づく脆弱性分類手法と,AIBugHunterが脆弱性タイプを正確に識別し,重症度を推定するためのトランスフォーマーに基づく評価手法を提案する。
  論文  参考訳（メタデータ） (2023-05-26T04:21:53Z)
• Towards a Fair Comparison and Realistic Design and Evaluation Framework of Android Malware Detectors [63.75363908696257]
  一般的な評価フレームワークを用いて,Androidのマルウェア検出に関する10の研究成果を分析した。 データセットの作成やデザイナの設計に考慮しない場合、トレーニングされたMLモデルに大きく影響する5つの要因を特定します。 その結果,MLに基づく検出器は楽観的に評価され,良好な結果が得られた。
  論文  参考訳（メタデータ） (2022-05-25T08:28:08Z)
• D2A: A Dataset Built for AI-Based Vulnerability Detection Methods Using Differential Analysis [55.15995704119158]
  静的解析ツールによって報告されたラベル問題に対する差分解析に基づくアプローチであるD2Aを提案する。 D2Aを使用して大きなラベル付きデータセットを生成し、脆弱性識別のためのモデルをトレーニングします。
  論文  参考訳（メタデータ） (2021-02-16T07:46:53Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。