論文の概要: Fixing Outside the Box: Uncovering Tactics for Open-Source Security Issue Management

• arxiv url: http://arxiv.org/abs/2503.23357v1
• Date: Sun, 30 Mar 2025 08:24:58 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-04-01 19:35:57.078812
• Title: Fixing Outside the Box: Uncovering Tactics for Open-Source Security Issue Management
• Title（参考訳）: ボックスの外での修正 - オープンソースのセキュリティ問題管理のための戦術を明らかにする
• Authors: Lyuye Zhang, Jiahui Wu, Chengwei Liu, Kaixuan Li, Xiaoyu Sun, Lida Zhao, Chong Wang, Yang Liu,
• Abstract要約: 我々はOSSプロジェクトにおける脆弱性修復戦術(RT)の分類に関する総合的研究を行う。 44個の異なるRTの階層型分類法を開発し,その有効性とコストを評価した。 私たちの発見は、代替ライブラリの使用や脆弱性の回避など、コミュニティ主導の戦略に大きく依存していることを強調しています。
• 参考スコア（独自算出の注目度）: 9.990683064304207
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: In the rapidly evolving landscape of software development, addressing security vulnerabilities in open-source software (OSS) has become critically important. However, existing research and tools from both academia and industry mainly relied on limited solutions, such as vulnerable version adjustment and adopting patches, to handle identified vulnerabilities. However, far more flexible and diverse countermeasures have been actively adopted in the open-source communities. A holistic empirical study is needed to explore the prevalence, distribution, preferences, and effectiveness of these diverse strategies. To this end, in this paper, we conduct a comprehensive study on the taxonomy of vulnerability remediation tactics (RT) in OSS projects and investigate their pros and cons. This study addresses this oversight by conducting a comprehensive empirical analysis of 21,187 issues from GitHub, aiming to understand the range and efficacy of remediation tactics within the OSS community. We developed a hierarchical taxonomy of 44 distinct RT and evaluated their effectiveness and costs. Our findings highlight a significant reliance on community-driven strategies, like using alternative libraries and bypassing vulnerabilities, 44% of which are currently unsupported by cutting-edge tools. Additionally, this research exposes the community's preferences for certain fixing approaches by analyzing their acceptance and the reasons for rejection. It also underscores a critical gap in modern vulnerability databases, where 54% of CVEs lack fixing suggestions, a gap that can be significantly mitigated by leveraging the 93% of actionable solutions provided through GitHub issues.
• Abstract（参考訳）: ソフトウェア開発の急速な発展の中で、オープンソースソフトウェア(OSS)のセキュリティ脆弱性に対処することが重要になっている。 しかし、アカデミックと産業の両方の既存の研究とツールは主に、脆弱性の特定に対処するために、脆弱性のあるバージョン調整やパッチの採用といった限定的なソリューションに依存していた。 しかし、より柔軟で多様な対策がオープンソースコミュニティで積極的に採用されている。 これらの多様な戦略の有病率、分布、嗜好、有効性を調べるためには、総合的な実証的研究が必要である。 そこで本研究では,OSSプロジェクトにおける脆弱性修復戦術(RT)の分類に関する総合的研究を行い,その長所と短所について検討する。 本研究は、OSSコミュニティにおける修復戦術の範囲と有効性を理解することを目的として、GitHubから21,187件の問題を包括的に分析することで、この監視に対処する。 44個の異なるRTの階層型分類法を開発し,その有効性とコストを評価した。 私たちの調査では、代替ライブラリの使用や脆弱性回避など、コミュニティ主導の戦略に大きく依存していることが示されています。 さらに, 本研究は, コミュニティが一定の修正アプローチを好んでいることを, 受け入れや拒絶の理由を分析して明らかにした。 CVEの54%は修正提案を欠いているが、GitHubイシューを通じて提供される実行可能なソリューションの93%を活用することで大幅に軽減できる。

関連論文リスト

• Generating Mitigations for Downstream Projects to Neutralize Upstream Library Vulnerability [8.673798395456185]
  サードパーティのライブラリは、開発者が既存の機能を再現する必要がなくなるため、ソフトウェア開発において不可欠である。 セキュリティバージョンへの依存関係のアップグレードは、パッチや特定のバージョン要件のプロジェクトなしに脆弱性を中和することは不可能である。 最先端の自動脆弱性修復と自動プログラム修復はどちらもこの問題に対処できない。
  論文  参考訳（メタデータ） (2025-03-31T16:20:29Z)
• SoK: Understanding Vulnerabilities in the Large Language Model Supply Chain [8.581429744090316]
  この研究は、13のライフサイクルステージにまたがる75の著名なプロジェクトにわたって報告された529の脆弱性を体系的に分析する。 その結果、脆弱性はアプリケーション(50.3%)とモデル(42.7%)に集中していることがわかった。 脆弱性の56.7%が修正されているが、これらのパッチの8%は効果がなく、繰り返し脆弱性が発生する。
  論文  参考訳（メタデータ） (2025-02-18T03:22:38Z)
• Model Inversion Attacks: A Survey of Approaches and Countermeasures [59.986922963781]
  近年、新しいタイプのプライバシ攻撃であるモデル反転攻撃(MIA)は、トレーニングのためのプライベートデータの機密性を抽出することを目的としている。 この重要性にもかかわらず、総合的な概要とMIAに関する深い洞察を提供する体系的な研究が欠如している。 本調査は、攻撃と防御の両方において、最新のMIA手法を要約することを目的としている。
  論文  参考訳（メタデータ） (2024-11-15T08:09:28Z)
• A Mixed-Methods Study of Open-Source Software Maintainers On Vulnerability Management and Platform Security Features [6.814841205623832]
  本稿では,OSSメンテナの脆弱性管理とプラットフォームセキュリティ機能について考察する。 サプライチェーンの不信や、脆弱性管理の自動化の欠如が、最も困難であることに気付きました。 プラットフォームのセキュリティ機能を採用する上での障壁は、認識の欠如と、それらが必要ないという認識の欠如である。
  論文  参考訳（メタデータ） (2024-09-12T00:15:03Z)
• Trust, but Verify: Evaluating Developer Behavior in Mitigating Security Vulnerabilities in Open-Source Software Projects [0.11999555634662631]
  本研究では,オープンソースソフトウェア(OSS)プロジェクトの依存関係の脆弱性について検討する。 古い依存関係やメンテナンスされていない依存関係に共通する問題を特定しました。 その結果, 直接的な依存関係の削減と, 強力なセキュリティ記録を持つ高度に確立されたライブラリの優先順位付けが, ソフトウェアセキュリティの状況を改善する効果的な戦略であることが示唆された。
  論文  参考訳（メタデータ） (2024-08-26T13:46:48Z)
• Exploring Automatic Cryptographic API Misuse Detection in the Era of LLMs [60.32717556756674]
  本稿では,暗号誤用の検出において,大規模言語モデルを評価するための体系的評価フレームワークを提案する。 11,940個のLCM生成レポートを詳細に分析したところ、LSMに固有の不安定性は、報告の半数以上が偽陽性になる可能性があることがわかった。 最適化されたアプローチは、従来の手法を超え、確立されたベンチマークでこれまで知られていなかった誤用を明らかにすることで、90%近い顕著な検出率を達成する。
  論文  参考訳（メタデータ） (2024-07-23T15:31:26Z)
• A Relevance Model for Threat-Centric Ranking of Cybersecurity Vulnerabilities [0.29998889086656577]
  脆弱性の追跡と更新の絶え間ないプロセスは、サイバーセキュリティの専門家にとって最大の関心事だ。 我々は、MITRE ATT&CKから派生した敵対的基準を用いた脅威の軽減に特化して、脆弱性管理のためのフレームワークを提供する。 我々の結果は、サイバー脅威のアクターが標的にし、悪用される可能性のある脆弱性の特定に向けた平均71.5%から91.3%の改善を示している。
  論文  参考訳（メタデータ） (2024-06-09T23:29:12Z)
• Prioritizing Safeguarding Over Autonomy: Risks of LLM Agents for Science [65.77763092833348]
  大規模言語モデル(LLM)を利用したインテリジェントエージェントは、自律的な実験を行い、様々な分野にわたる科学的発見を促進する上で、大きな可能性を証明している。 彼らの能力は有望だが、これらのエージェントは安全性を慎重に考慮する必要がある新たな脆弱性も導入している。 本稿では,科学領域におけるLSMをベースとしたエージェントの脆弱性の徹底的な調査を行い,その誤用に伴う潜在的なリスクに光を当て,安全性対策の必要性を強調した。
  論文  参考訳（メタデータ） (2024-02-06T18:54:07Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)
• Progressive Graph Learning for Open-Set Domain Adaptation [48.758366879597965]
  ドメインシフトは、典型的にはソースとターゲットデータが異なる分布に従うときに発生する視覚認識の基本的な問題である。 本稿では、ターゲットデータにソースデータに存在しない追加のクラスを含むオープンセットドメインシフトのより現実的な問題に取り組む。 本稿では,その基礎となる条件シフトを抑制するために,エピソード学習を伴うグラフニューラルネットワークを統合したエンドツーエンドのプログレッシブグラフ学習フレームワークを提案する。
  論文  参考訳（メタデータ） (2020-06-22T09:10:34Z)
• Explore, Discover and Learn: Unsupervised Discovery of State-Covering Skills [155.11646755470582]
  情報理論的スキル発見の代替手法として,'Explore, Discover and Learn'(EDL)がある。 本稿では,EDLがカバレッジ問題を克服し,学習スキルの初期状態への依存を減らし,ユーザが学習すべき行動について事前定義できるようにするなど,大きなメリットがあることを示す。
  論文  参考訳（メタデータ） (2020-02-10T10:49:53Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。