論文の概要: Drop the Golden Apples: Identifying Third-Party Reuse by DB-Less Software Composition Analysis

• arxiv url: http://arxiv.org/abs/2503.22576v1
• Date: Fri, 28 Mar 2025 16:25:24 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-03-31 15:32:09.121389
• Title: Drop the Golden Apples: Identifying Third-Party Reuse by DB-Less Software Composition Analysis
• Title（参考訳）: 黄金のアップルを落とす:DB-Lessのソフトウェア構成分析によるサードパーティの再利用の特定
• Authors: Lyuye Zhang, Chengwei Liu, Jiahui Wu, Shiyang Zhang, Chengyue Liu, Zhengzi Xu, Sen Chen, Yang Liu,
• Abstract要約: 現代のソフトウェア開発におけるサードパーティのライブラリ(TPL)は、重大なセキュリティとコンプライアンスのリスクをもたらす。 本稿では,DB-Lessソフトウェア構成分析(SCA)の最初のフレームワークを提案する。 Androidのネイティブライブラリ識別とC/C++のコピーベースのTPL再利用という2つの典型的なシナリオに関する実験は、SCAでデータベースレス戦略を実装する上で好都合な未来を実証した。
• 参考スコア（独自算出の注目度）: 11.193453132177222
• License:
• Abstract: The prevalent use of third-party libraries (TPLs) in modern software development introduces significant security and compliance risks, necessitating the implementation of Software Composition Analysis (SCA) to manage these threats. However, the accuracy of SCA tools heavily relies on the quality of the integrated feature database to cross-reference with user projects. While under the circumstance of the exponentially growing of open-source ecosystems and the integration of large models into software development, it becomes even more challenging to maintain a comprehensive feature database for potential TPLs. To this end, after referring to the evolution of LLM applications in terms of external data interactions, we propose the first framework of DB-Less SCA, to get rid of the traditional heavy database and embrace the flexibility of LLMs to mimic the manual analysis of security analysts to retrieve identical evidence and confirm the identity of TPLs by supportive information from the open Internet. Our experiments on two typical scenarios, native library identification for Android and copy-based TPL reuse for C/C++, especially on artifacts that are not that underappreciated, have demonstrated the favorable future for implementing database-less strategies in SCA.
• Abstract（参考訳）: 現代のソフトウェア開発におけるサードパーティ製ライブラリ(TPL)の利用は、セキュリティとコンプライアンスの重大なリスクをもたらし、これらの脅威を管理するためにソフトウェア構成分析(SCA)の実装を必要としている。 しかし、SCAツールの精度は、ユーザプロジェクトとの相互参照のために統合された機能データベースの品質に大きく依存しています。 オープンソースエコシステムの急激な成長と大規模モデルのソフトウェア開発への統合の状況下では、潜在的なTPLのための包括的な機能データベースを維持することがさらに困難になる。 この目的のために、外部データインタラクションの観点からLLMアプリケーションの進化を参照し、従来の重データベースを排除し、LLMの柔軟性を取り入れたDB-Less SCAの最初のフレームワークを提案し、セキュリティアナリストの手動解析を模倣し、同一の証拠を検索し、オープンインターネットからの支持情報によりTPLの同一性を確認する。 この2つの典型的なシナリオ、Androidのネイティブライブラリ識別とC/C++のコピーベースのTPL再利用、特に未承認でないアーティファクトに関する実験は、SCAでデータベースレス戦略を実装する上で好都合な未来を実証した。

関連論文リスト

• LLMs in Software Security: A Survey of Vulnerability Detection Techniques and Insights [12.424610893030353]
  大規模言語モデル(LLM)は、ソフトウェア脆弱性検出のためのトランスフォーメーションツールとして登場している。 本稿では,脆弱性検出におけるLSMの詳細な調査を行う。 言語間の脆弱性検出、マルチモーダルデータ統合、リポジトリレベルの分析といった課題に対処する。
  論文  参考訳（メタデータ） (2025-02-10T21:33:38Z)
• Towards Human-Guided, Data-Centric LLM Co-Pilots [53.35493881390917]
  CliMB-DCは、機械学習コパイロットのための、ヒューマンガイド付き、データ中心のフレームワークである。 高度なデータ中心ツールとLLM駆動推論を組み合わせることで、堅牢でコンテキスト対応のデータ処理を可能にする。 CliMB-DCが未処理のデータセットをML対応フォーマットに変換する方法を示す。
  論文  参考訳（メタデータ） (2025-01-17T17:51:22Z)
• Enhancing Security in Third-Party Library Reuse -- Comprehensive Detection of 1-day Vulnerability through Code Patch Analysis [8.897599530972638]
  サードパーティライブラリ(TPL)は、TPLのメンテナンスが低いため、脆弱性(1日脆弱性と呼ばれる)を導入することができる。 VULTUREは、脆弱なTPLの再利用から生じる1日間の脆弱性を特定することを目的としている。 VULTUREは178個のTPLから175個の脆弱性を特定した。
  論文  参考訳（メタデータ） (2024-11-29T12:02:28Z)
• Outside the Comfort Zone: Analysing LLM Capabilities in Software Vulnerability Detection [9.652886240532741]
  本稿では,ソースコードの脆弱性検出における大規模言語モデルの機能について,徹底的に解析する。 我々は6つの汎用LCMに対して脆弱性検出を特別に訓練した6つのオープンソースモデルの性能を評価する。
  論文  参考訳（メタデータ） (2024-08-29T10:00:57Z)
• Large Language Model as a Catalyst: A Paradigm Shift in Base Station Siting Optimization [62.16747639440893]
  大規模言語モデル(LLM)とその関連技術は、特に迅速な工学とエージェント工学の領域において進歩している。 提案するフレームワークは、検索拡張生成(RAG)を組み込んで、ドメイン固有の知識を取得してソリューションを生成するシステムの能力を高める。
  論文  参考訳（メタデータ） (2024-08-07T08:43:32Z)
• Exploring the extent of similarities in software failures across industries using LLMs [0.0]
  本研究は, LLM(Failure Analysis Investigation with LLMs)モデルを用いて, 業界固有情報を抽出する。 以前の作業では、ニュース記事は信頼できる情報源から収集され、データベース内のインシデントによって分類された。 本研究は,これらの手法を,特定のドメインとソフトウェア障害の種類に分類することによって拡張する。
  論文  参考訳（メタデータ） (2024-08-07T03:48:07Z)
• Robust Utility-Preserving Text Anonymization Based on Large Language Models [80.5266278002083]
  テキストの匿名化は、プライバシーを維持しながら機密データを共有するために重要である。 既存の技術は、大規模言語モデルの再識別攻撃能力の新たな課題に直面している。 本稿では,3つのLCMベースコンポーネント – プライバシ評価器,ユーティリティ評価器,最適化コンポーネント – で構成されるフレームワークを提案する。
  論文  参考訳（メタデータ） (2024-07-16T14:28:56Z)
• "Glue pizza and eat rocks" -- Exploiting Vulnerabilities in Retrieval-Augmented Generative Models [74.05368440735468]
  Retrieval-Augmented Generative (RAG)モデルにより大規模言語モデル(LLM)が強化される 本稿では,これらの知識基盤の開放性を敵が活用できるセキュリティ上の脅威を示す。
  論文  参考訳（メタデータ） (2024-06-26T05:36:23Z)
• Characterization of Large Language Model Development in the Datacenter [55.9909258342639]
  大きな言語モデル(LLM)は、いくつかの変換タスクにまたがって素晴らしいパフォーマンスを示している。 しかし,大規模クラスタ資源を効率よく利用してLCMを開発することは容易ではない。 我々は,GPUデータセンタAcmeから収集した6ヶ月のLDM開発ワークロードの詳細な評価を行った。
  論文  参考訳（メタデータ） (2024-03-12T13:31:14Z)
• ChatSOS: LLM-based knowledge Q&A system for safety engineering [0.0]
  本研究では,LLMに基づく安全工学のQ&Aシステムを導入し,モデルの理解と応答精度を向上させる。 我々は、外部知識データベースを組み込むために、即時エンジニアリングを採用し、LLMを最新かつ信頼性の高い情報で強化する。 以上の結果から,外部知識の統合は,奥行き問題解析や自律的なタスク割り当てにおいて,LLMの能力を大幅に向上させることが示唆された。
  論文  参考訳（メタデータ） (2023-12-14T03:25:23Z)
• Serving Deep Learning Model in Relational Databases [70.53282490832189]
  リレーショナルデータ上での深層学習(DL)モデルの実現は、様々な商業分野や科学分野において重要な要件となっている。 最先端のDL中心アーキテクチャは、DL計算を専用のDLフレームワークにオフロードします。 UDF中心アーキテクチャの可能性は、リレーショナルデータベース管理システム(RDBMS)内の1つ以上のテンソル計算をユーザ定義関数(UDF)にカプセル化する。
  論文  参考訳（メタデータ） (2023-10-07T06:01:35Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。