論文の概要: An Empirical Study of Fuzz Harness Degradation

• arxiv url: http://arxiv.org/abs/2505.06177v1
• Date: Fri, 09 May 2025 16:39:20 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-05-12 20:40:10.343043
• Title: An Empirical Study of Fuzz Harness Degradation
• Title（参考訳）: ファズ・ハーネス劣化に関する実証的研究
• Authors: Philipp Görz, Joschua Schilling, Thorsten Holz, Marcel Böhme,
• Abstract要約: 510のオープンソースC/C++プロジェクトのためのハーネスを含む,GoogleのOSS-Fuzz継続的ファジィプラットフォームについて検討する。 ハーネスはファザーとプロジェクトの間のグルーコードなので、プロジェクトの変更に適応する必要があります。 我々の分析では、OSS-Fuzzのプロジェクトにおいて、一貫した全体的なファジィザカバレッジの比率が示され、明示的な更新がなくても、ハーネスのバグフィニング能力の驚くべき長寿が示されています。
• 参考スコア（独自算出の注目度）: 24.989253174000922
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: The purpose of continuous fuzzing platforms is to enable fuzzing for software projects via \emph{fuzz harnesses} -- but as the projects continue to evolve, are these harnesses updated in lockstep, or do they run out of date? If these harnesses remain unmaintained, will they \emph{degrade} over time in terms of coverage achieved or number of bugs found? This is the subject of our study. We study Google's OSS-Fuzz continuous fuzzing platform containing harnesses for 510 open-source C/C++ projects, many of which are security-critical. A harness is the glue code between the fuzzer and the project, so it needs to adapt to changes in the project. It is often added by a project maintainer or as part of a, sometimes short-lived, testing effort. Our analysis shows a consistent overall fuzzer coverage percentage for projects in OSS-Fuzz and a surprising longevity of the bug-finding capability of harnesses even without explicit updates, as long as they still build. However, we also identify and manually examine individual cases of harness coverage degradation and categorize their root causes. Furthermore, we contribute to OSS-Fuzz and Fuzz Introspector to support metrics to detect harness degradation in OSS-Fuzz projects guided by this research.
• Abstract（参考訳）: 継続的ファジィングプラットフォームの目的は,‘emph{fuzz harnesses}’を通じてソフトウェアプロジェクトのファジィングを可能にすることだ。 もしこれらのハーネスがメンテナンスされていないままであるなら、カバレッジやバグの数に関して、時間とともに‘emph{degrade}’になるだろうか? これが私たちの研究の主題です。 510のオープンソースC/C++プロジェクトのためのハーネスを含む、GoogleのOSS-Fuzz継続的ファジィプラットフォームについて調査する。 ハーネスはファザーとプロジェクトの間のグルーコードなので、プロジェクトの変更に適応する必要があります。 プロジェクトメンテナや,時には短命なテスト作業の一部として追加されることも少なくありません。 私たちの分析では、OSS-Fuzzのプロジェクトにおいて、一貫した全体的なファジィザカバレッジの比率が示されています。 しかし,本研究では,各症例を手作業で同定し,根本原因を分類する。 さらに, OSS-Fuzz と Fuzz Introspector にコントリビュートして, OSS-Fuzz プロジェクトにおける利用効率の劣化を検出するメトリクスをサポートする。

関連論文リスト

• In the Magma chamber: Update and challenges in ground-truth vulnerabilities revival for automatic input generator comparison [42.95491588006701]
  Magma氏は、現在のソフトウェアリリースで脆弱性のあるコードを再導入するフォワードポートの概念を紹介した。 彼らの成果は有望だが、現状では、このアプローチの保守性に対するアップデートが時間とともに欠落している。 我々は,MagmaのCVEの公開から4年後の可搬性を再評価することで,フォワードポーティングの課題を特徴づける。
  論文  参考訳（メタデータ） (2025-03-25T17:59:27Z)
• Your Fix Is My Exploit: Enabling Comprehensive DL Library API Fuzzing with Large Language Models [49.214291813478695]
  AIアプリケーションで広く使用されているディープラーニング(DL)ライブラリは、オーバーフローやバッファフリーエラーなどの脆弱性を含むことが多い。 従来のファジィングはDLライブラリの複雑さとAPIの多様性に悩まされている。 DLライブラリのためのLLM駆動ファジィ手法であるDFUZZを提案する。
  論文  参考訳（メタデータ） (2025-01-08T07:07:22Z)
• FuzzWiz -- Fuzzing Framework for Efficient Hardware Coverage [2.1626093085892144]
  FuzzWizという自動ハードウェアファジリングフレームワークを作成しました。 RTL設計モジュールのパース、C/C++モデルへの変換、アサーション、リンク、ファジングによるジェネリックテストベンチの作成を含む。 ベンチマークの結果,従来のシミュレーション回帰手法の10倍の速度でカバー範囲の約90%を達成できた。
  論文  参考訳（メタデータ） (2024-10-23T10:06:08Z)
• FuzzCoder: Byte-level Fuzzing Test via Large Language Model [46.18191648883695]
  我々は,攻撃を成功させることで,入力ファイルのパターンを学習するために,微調整された大言語モデル(FuzzCoder)を採用することを提案する。 FuzzCoderは、プログラムの異常な動作を引き起こすために、入力ファイル内の突然変異位置と戦略位置を予測することができる。
  論文  参考訳（メタデータ） (2024-09-03T14:40:31Z)
• VersiCode: Towards Version-controllable Code Generation [58.82709231906735]
  大規模言語モデル(LLM)は、コード生成において大きな進歩を遂げていますが、既存の研究は、ソフトウェア開発の動的な性質を説明できません。 バージョン別コード補完(VSCC)とバージョン別コードマイグレーション(VACM)の2つの新しいタスクを提案する。 VersiCodeについて広範な評価を行い、バージョン管理可能なコード生成が確かに重要な課題であることを示した。
  論文  参考訳（メタデータ） (2024-06-11T16:15:06Z)
• Prompt Fuzzing for Fuzz Driver Generation [6.238058387665971]
  本稿では,プロンプトファジングのためのカバーガイドファジングであるPromptFuzzを提案する。 未発見のライブラリコードを探索するためにファズドライバを反復的に生成する。 PromptFuzzはOSS-FuzzとHopperの2倍のブランチカバレッジを達成した。
  論文  参考訳（メタデータ） (2023-12-29T16:43:51Z)
• Vulnerability Detection Through an Adversarial Fuzzing Algorithm [2.074079789045646]
  本プロジェクトは,ファザがより多くの経路を探索し,短時間でより多くのバグを発見できるようにすることにより,既存のファザの効率を向上させることを目的としている。 逆法は、より効率的なファジィングのためのテストケースを生成するために、現在の進化アルゴリズムの上に構築されている。
  論文  参考訳（メタデータ） (2023-07-21T21:46:28Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)
• What Happens When We Fuzz? Investigating OSS-Fuzz Bug History [0.9772968596463595]
  我々は2022年3月12日までにOSS-Fuzzが公表した44,102件の問題を分析した。 コードを含むバグの発生時期を推定するために,バグ貢献のコミットを特定し,検出から修正までのタイムラインを測定した。
  論文  参考訳（メタデータ） (2023-05-19T05:15:36Z)
• D2A: A Dataset Built for AI-Based Vulnerability Detection Methods Using Differential Analysis [55.15995704119158]
  静的解析ツールによって報告されたラベル問題に対する差分解析に基づくアプローチであるD2Aを提案する。 D2Aを使用して大きなラベル付きデータセットを生成し、脆弱性識別のためのモデルをトレーニングします。
  論文  参考訳（メタデータ） (2021-02-16T07:46:53Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。