論文の概要: Out of Sight, Still at Risk: The Lifecycle of Transitive Vulnerabilities in Maven
- arxiv url: http://arxiv.org/abs/2504.04803v1
- Date: Mon, 07 Apr 2025 07:54:15 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-04-15 21:12:32.617315
- Title: Out of Sight, Still at Risk: The Lifecycle of Transitive Vulnerabilities in Maven
- Title(参考訳): Mavenにおける過渡的脆弱性のライフサイクル
- Authors: Piotr Przymus, Mikołaj Fejzer, Jakub Narębski, Krzysztof Rykaczewski, Krzysztof Stencel,
- Abstract要約: 間接的な依存関係から生じる過渡的脆弱性は、共通脆弱性や露出に関連するリスクにプロジェクトを公開します。
我々は、CVE導入後のプロジェクトの露出時間を測定するためにサバイバル分析を採用している。
Mavenプロジェクトの大規模なデータセットを使用して、これらの脆弱性の解決に影響を及ぼす要因を特定します。
- 参考スコア(独自算出の注目度): 0.3670008893193884
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: The modern software development landscape heavily relies on transitive dependencies. They enable seamless integration of third-party libraries. However, they also introduce security challenges. Transitive vulnerabilities that arise from indirect dependencies expose projects to risks associated with Common Vulnerabilities and Exposures (CVEs). It happens even when direct dependencies remain secure. This paper examines the lifecycle of transitive vulnerabilities in the Maven ecosystem. We employ survival analysis to measure the time projects remain exposed after a CVE is introduced. Using a large dataset of Maven projects, we identify factors that influence the resolution of these vulnerabilities. Our findings offer practical advice on improving dependency management.
- Abstract(参考訳): 現代のソフトウェア開発の状況は、過渡的依存関係に大きく依存しています。
サードパーティライブラリのシームレスな統合を可能にする。
しかし、セキュリティ上の課題も導入している。
間接的依存関係から生じる過渡的脆弱性は、CVE(Common Vulnerabilities and Exposures)に関連するリスクにプロジェクトを公開します。
直接的な依存関係がセキュアである場合でも発生する。
本稿では,Mavenエコシステムにおける過渡的脆弱性のライフサイクルについて検討する。
我々は、CVE導入後のプロジェクトの露出時間を測定するためにサバイバル分析を採用している。
Mavenプロジェクトの大規模なデータセットを使用して、これらの脆弱性の解決に影響を及ぼす要因を特定します。
本研究は,依存性管理の改善に関する実践的なアドバイスを提供する。
関連論文リスト
- The Ripple Effect of Vulnerabilities in Maven Central: Prevalence, Propagation, and Mitigation Challenges [8.955037553566774]
私たちはCommon Vulnerabilities and Exposuresデータを用いてMaven Centralエコシステム内の脆弱性の頻度と影響を分析します。
約400万リリースのサブサンプルでは、リリースの約1%に直接的な脆弱性があることが分かりました。
また、脆弱性のパッチに要する時間、特に重大または重大の脆弱性は、数年かかることが多いこともわかりました。
論文 参考訳(メタデータ) (2025-04-05T13:45:27Z) - Understanding Software Vulnerabilities in the Maven Ecosystem: Patterns, Timelines, and Risks [1.5499426028105905]
本稿では,Goblinフレームワークを用いて,Mavenエコシステムの脆弱性を大規模に解析する。
226個のCWEを持つ77,393個の脆弱性のあるリリースを特定します。
脆弱性の文書化には平均して50年近くかかり、解決には4.4年かかる。
論文 参考訳(メタデータ) (2025-03-28T12:52:07Z) - Decoding Dependency Risks: A Quantitative Study of Vulnerabilities in the Maven Ecosystem [1.5499426028105905]
本研究では,Mavenエコシステム内の脆弱性を調査し,14,459,139リリースの包括的なデータセットを分析した。
Maven特有のリスクのある弱点を示し、時間が経つにつれてますます危険なものになっていることを強調します。
以上の結果から,入力の不適切な処理や資源の不正管理が最もリスクが高いことが示唆された。
論文 参考訳(メタデータ) (2025-03-28T04:16:46Z) - Tracing Vulnerabilities in Maven: A Study of CVE lifecycles and Dependency Networks [0.46040036610482665]
本研究では,Mavenにおける3,362個のCVEのライフサイクルを分析し,脆弱性軽減のパターンを明らかにし,リスクパッケージに影響を与える要因を特定する。
キーとなる発見は、"Publish-Before-Patch"シナリオにおけるトレンドである。
論文 参考訳(メタデータ) (2025-02-07T02:43:35Z) - Breaking Focus: Contextual Distraction Curse in Large Language Models [68.4534308805202]
大規模言語モデル(LLM)の重大な脆弱性について検討する。
この現象は、セマンティック・コヒーレントだが無関係な文脈で修正された質問に対して、モデルが一貫した性能を維持することができないときに発生する。
本稿では,CDVの例を自動生成する効率的な木探索手法を提案する。
論文 参考訳(メタデータ) (2025-02-03T18:43:36Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - Detectors for Safe and Reliable LLMs: Implementations, Uses, and Limitations [76.19419888353586]
大規模言語モデル(LLM)は、不誠実なアウトプットからバイアスや有害な世代に至るまで、さまざまなリスクを受けやすい。
我々は,様々な害のラベルを提供するコンパクトで容易に構築できる分類モデルである,検出器のライブラリを作成し,展開する取り組みについて述べる。
論文 参考訳(メタデータ) (2024-03-09T21:07:16Z) - Dependency Practices for Vulnerability Mitigation [4.710141711181836]
npmエコシステムの450以上の脆弱性を分析し、依存するパッケージが脆弱なままである理由を理解します。
依存関係によって感染した20万以上のnpmパッケージを特定します。
私たちは9つの機能を使って、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築しています。
論文 参考訳(メタデータ) (2023-10-11T19:48:46Z) - Safety Margins for Reinforcement Learning [53.10194953873209]
安全マージンを生成するためにプロキシ臨界度メトリクスをどのように活用するかを示す。
Atari 環境での APE-X と A3C からの学習方針に対するアプローチを評価する。
論文 参考訳(メタデータ) (2023-07-25T16:49:54Z) - Analyzing Maintenance Activities of Software Libraries [65.268245109828]
近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。
産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
論文 参考訳(メタデータ) (2023-06-09T16:51:25Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。