論文の概要: An Accurate and Efficient Vulnerability Propagation Analysis Framework

• arxiv url: http://arxiv.org/abs/2506.01342v1
• Date: Mon, 02 Jun 2025 05:55:45 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-06-04 21:47:34.047837
• Title: An Accurate and Efficient Vulnerability Propagation Analysis Framework
• Title（参考訳）: 高精度かつ効率的な脆弱性の伝播分析フレームワーク
• Authors: Bonan Ruan, Zhiwei Lin, Jiahao Liu, Chuqi Zhang, Kaihang Ji, Zhenkai Liang,
• Abstract要約: ソフトウェアサプライチェーンにおける脆弱性の影響範囲と進化を定量化する新しい手法を提案する。 Java Mavenエコシステムで私たちのアプローチのプロトタイプを実装し、100の現実世界の脆弱性で評価します。
• 参考スコア（独自算出の注目度）: 13.051314477680902
• License: http://creativecommons.org/licenses/by-nc-nd/4.0/
• Abstract: Identifying the impact scope and scale is critical for software supply chain vulnerability assessment. However, existing studies face substantial limitations. First, prior studies either work at coarse package-level granularity, producing many false positives, or fail to accomplish whole-ecosystem vulnerability propagation analysis. Second, although vulnerability assessment indicators like CVSS characterize individual vulnerabilities, no metric exists to specifically quantify the dynamic impact of vulnerability propagation across software supply chains. To address these limitations and enable accurate and comprehensive vulnerability impact assessment, we propose a novel approach: (i) a hierarchical worklist-based algorithm for whole-ecosystem and call-graph-level vulnerability propagation analysis and (ii) the Vulnerability Propagation Scoring System (VPSS), a dynamic metric to quantify the scope and evolution of vulnerability impacts in software supply chains. We implement a prototype of our approach in the Java Maven ecosystem and evaluate it on 100 real-world vulnerabilities. Experimental results demonstrate that our approach enables effective ecosystem-wide vulnerability propagation analysis, and provides a practical, quantitative measure of vulnerability impact through VPSS.
• Abstract（参考訳）: ソフトウェアサプライチェーンの脆弱性評価には、影響範囲とスケールの特定が不可欠です。 しかし、既存の研究は重大な限界に直面している。 まず、事前の研究はパッケージレベルの粗い粒度に取り組み、多くの偽陽性を発生させるか、生態系全体の脆弱性の伝播分析を達成できないかのいずれかである。 第二に、CVSSのような脆弱性評価指標は個々の脆弱性を特徴づけるが、ソフトウェアサプライチェーン全体の脆弱性伝搬の動的影響を具体的に定量化する指標は存在しない。 これらの制限に対処し、正確で包括的な脆弱性影響評価を可能にするために、我々は新しいアプローチを提案する。 i)全体エコシステムとコールグラフレベルの脆弱性伝播解析のための階層型ワークリストに基づくアルゴリズム (ii)ソフトウェアサプライチェーンにおける脆弱性影響のスコープと進化を定量化するための動的指標であるVulnerability Propagation Scoring System(VPSS)。 Java Mavenエコシステムで私たちのアプローチのプロトタイプを実装し、100の現実世界の脆弱性で評価します。 実験により,本手法は生態系全体の脆弱性伝播解析を効果的に実現し,VPSSによる脆弱性影響を定量的に測定できることを示した。

関連論文リスト

• Quantifying Robustness: A Benchmarking Framework for Deep Learning Forecasting in Cyber-Physical Systems [44.61435605872856]
  我々は,産業用CPSに合わせて,分散ロバスト性に基づく実用的ロバスト性定義を導入する。 本フレームワークは,センサドリフト,ノイズ,不規則サンプリングなどの現実的な乱れをシミュレートし,予測モデルの徹底的なロバスト性解析を可能にする。
  論文  参考訳（メタデータ） (2025-04-04T14:50:48Z)
• Beyond the Surface: An NLP-based Methodology to Automatically Estimate CVE Relevance for CAPEC Attack Patterns [42.63501759921809]
  本稿では,自然言語処理(NLP)を利用して,共通脆弱性・暴露(CAPEC)脆弱性と共通攻撃パターン・分類(CAPEC)攻撃パターンを関連付ける手法を提案する。 実験による評価は,最先端モデルと比較して優れた性能を示した。
  論文  参考訳（メタデータ） (2025-01-13T08:39:52Z)
• Bringing Order Amidst Chaos: On the Role of Artificial Intelligence in Secure Software Engineering [0.0]
  進化を続ける技術的景観は、機会と脅威の両方を提供し、カオスと秩序が競合する動的な空間を作り出す。 セキュアなソフトウェアエンジニアリング(SSE)は、ソフトウェアシステムを危険にさらす脆弱性に継続的に対処しなければならない。 この論文は、AIの精度に影響を与えるドメイン固有の違いに対処することで、SSEのカオスに秩序をもたらすことを目指している。
  論文  参考訳（メタデータ） (2025-01-09T11:38:58Z)
• CRepair: CVAE-based Automatic Vulnerability Repair Technology [1.147605955490786]
  ソフトウェア脆弱性は、現代のソフトウェアとそのアプリケーションデータの完全性、セキュリティ、信頼性に重大な脅威をもたらす。 脆弱性修復の課題に対処するため、研究者らは、学習に基づく自動脆弱性修復技術が広く注目を集めるなど、様々な解決策を提案している。 本稿では,システムコードのセキュリティ脆弱性を修正することを目的としたCVAEベースの自動脆弱性修復技術であるCRepairを提案する。
  論文  参考訳（メタデータ） (2024-11-08T12:55:04Z)
• SecScore: Enhancing the CVSS Threat Metric Group with Empirical Evidences [0.0]
  最も広く使用されている脆弱性スコアリングシステム(CVSS)の1つは、エクスプロイトコードが出現する可能性の増大に対処していない。 本稿では,CVSS Threatメトリックグループを強化した,革新的な脆弱性重大度スコアであるSecScoreを提案する。
  論文  参考訳（メタデータ） (2024-05-14T12:25:55Z)
• Dynamic Vulnerability Criticality Calculator for Industrial Control Systems [0.0]
  本稿では,動的脆弱性臨界計算機を提案する革新的な手法を提案する。 本手法は, 環境トポロジの分析と, 展開されたセキュリティ機構の有効性を包含する。 本手法では,これらの要因を総合的なファジィ認知マップモデルに統合し,攻撃経路を組み込んで全体の脆弱性スコアを総合的に評価する。
  論文  参考訳（メタデータ） (2024-03-20T09:48:47Z)
• Profile of Vulnerability Remediations in Dependencies Using Graph Analysis [40.35284812745255]
  本研究では,グラフ解析手法と改良型グラフ注意畳み込みニューラルネットワーク(GAT)モデルを提案する。 制御フローグラフを分析して、脆弱性の修正を目的とした依存性のアップグレードから発生するアプリケーションの変更をプロファイルします。 結果は、コード脆弱性のリレーショナルダイナミクスに関する微妙な洞察を提供する上で、強化されたGATモデルの有効性を示す。
  論文  参考訳（メタデータ） (2024-03-08T02:01:47Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)
• Differential privacy and robust statistics in high dimensions [49.50869296871643]
  高次元Propose-Test-Release (HPTR) は指数的メカニズム、頑健な統計、Propose-Test-Release メカニズムという3つの重要なコンポーネントの上に構築されている。 本論文では,HPTRが複数のシナリオで最適サンプル複雑性をほぼ達成していることを示す。
  論文  参考訳（メタデータ） (2021-11-12T06:36:40Z)
• Autosploit: A Fully Automated Framework for Evaluating the Exploitability of Security Vulnerabilities [47.748732208602355]
  Autosploitは脆弱性の悪用性を評価するためのフレームワークだ。 環境の異なる設定でエクスプロイトを自動的にテストする。 ノイズレス環境とノイズの多い環境の両方で脆弱性を悪用する能力に影響を与えるシステムの特性を識別することができる。
  論文  参考訳（メタデータ） (2020-06-30T18:49:18Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。