論文の概要: Mapping NVD Records to Their VFCs: How Hard is it?

• arxiv url: http://arxiv.org/abs/2506.09702v1
• Date: Wed, 11 Jun 2025 13:14:29 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-06-13 06:35:02.992089
• Title: Mapping NVD Records to Their VFCs: How Hard is it?
• Title（参考訳）: NVDレコードをVFCにマッピングするのは、どれくらい難しいのか?
• Authors: Huu Hung Nguyen, Duc Manh Tran, Yiran Cheng, Thanh Le-Cong, Hong Jin Kang, Ratnadira Widyasari, Shar Lwin Khin, Ouh Eng Lieh, Ting Zhang, David Lo,
• Abstract要約: NVD(National Vulnerability Database)レコードを脆弱性修正コミット(VFC)にマッピングすることは、脆弱性分析には不可欠だが、NVD参照の明確なリンクが不足しているため、難しい。 本研究では, このマッピングの実現可能性について, 実証的アプローチを用いて検討する。 NVD参照のマニュアル分析では、Git参照は86%以上成功し、非Git参照は14%以下である。
• 参考スコア（独自算出の注目度）: 9.654974283421346
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Mapping National Vulnerability Database (NVD) records to vulnerability-fixing commits (VFCs) is crucial for vulnerability analysis but challenging due to sparse explicit links in NVD references.This study explores this mapping's feasibility through an empirical approach. Manual analysis of NVD references showed Git references enable over 86% success, while non-Git references achieve under 14%. Using these findings, we built an automated pipeline extracting 31,942 VFCs from 20,360 NVD records (8.7% of 235,341) with 87% precision, mainly from Git references. To fill gaps, we mined six external security databases, yielding 29,254 VFCs for 18,985 records (8.1%) at 88.4% precision, and GitHub repositories, adding 3,686 VFCs for 2,795 records (1.2%) at 73% precision. Combining these, we mapped 26,710 unique records (11.3% coverage) from 7,634 projects, with overlap between NVD and external databases, plus unique GitHub contributions. Despite success with Git references, 88.7% of records remain unmapped, highlighting the difficulty without Git links. This study offers insights for enhancing vulnerability datasets and guiding future automated security research.
• Abstract（参考訳）: 国立脆弱性データベース(NVD)レコードを脆弱性修正コミット(VFC)にマッピングすることは、脆弱性分析には不可欠だが、NVD参照の少ない明示的なリンクのために困難である。本研究では、実証的なアプローチを通じて、このマッピングの実現可能性について検討する。 NVD参照のマニュアル分析では、Git参照は86%以上成功し、非Git参照は14%以下である。 これらの結果から,20,360NVDレコード(8.7%,235,341)から31,942VFCを抽出し,Git参照を中心に87%の精度で自動パイプラインを構築した。 ギャップを埋めるために、6つの外部セキュリティデータベースをマイニングし、88.4%の精度で18,985レコード(8.1%)で29,254VFC、73%の精度で2,795レコード(1.2%)で3,686VFCを追加しました。 これらを組み合わせることで、7,634プロジェクトから26,710のユニークなレコード(11.3%のカバレッジ)をマッピングし、NVDと外部データベースの重複に加えて、ユニークなGitHubコントリビューションも提供しました。 Git参照の成功にもかかわらず、88.7%のレコードは未マップのままであり、Gitリンクなしでの難しさを強調している。 この研究は、脆弱性データセットを強化し、将来の自動セキュリティ研究を導くための洞察を提供する。

関連論文リスト

• Towards Storage-Efficient Visual Document Retrieval: An Empirical Study on Reducing Patch-Level Embeddings [70.26204343623215]
  ColPali/ColQwen2は各ページを複数のパッチレベルの埋め込みにエンコードし、過剰なメモリ使用率をもたらす。 本研究では,ページごとのパッチ埋め込みを最小性能劣化時に低減する方法について検討する。
  論文  参考訳（メタデータ） (2025-06-05T13:06:01Z)
• SWE-Fixer: Training Open-Source LLMs for Effective and Efficient GitHub Issue Resolution [56.9361004704428]
  大規模言語モデル(LLM)は、様々な複雑なタスクにまたがる顕著な習熟度を示している。 SWE-Fixerは、GitHubの問題を効果的かつ効率的に解決するために設計された、新しいオープンソースフレームワークである。 我々は,SWE-Bench LiteとVerifiedベンチマークに対するアプローチを評価し,オープンソースモデル間の競合性能を実現する。
  論文  参考訳（メタデータ） (2025-01-09T07:54:24Z)
• PatchFinder: A Two-Phase Approach to Security Patch Tracing for Disclosed Vulnerabilities in Open-Source Software [15.867607171943698]
  本稿では,エンドツーエンドの相関学習を併用した2段階のフレームワークを提案する。 PatchFinderは80.63%のRecall@10、平均相反ランク(MRR)は0.7951である。 PatchFinderを実際に適用する場合、最初は533件のパッチコミットを特定し、公式に送ったのですが、そのうち482件はCVE Numbering Authoritiesによって確認されました。
  論文  参考訳（メタデータ） (2024-07-24T07:46:24Z)
• Analyzing the Accessibility of GitHub Repositories for PyPI and NPM Libraries [91.97201077607862]
  産業アプリケーションはオープンソースソフトウェア(OSS)ライブラリに大きく依存しており、様々な利点を提供している。 このようなコミュニティの活動を監視するには、エコシステムのライブラリの包括的なリポジトリのリストにアクセスしなければなりません。 本研究では、PyPIライブラリとNPMライブラリのGitHubリポジトリのアクセシビリティを分析する。
  論文  参考訳（メタデータ） (2024-04-26T13:27:04Z)
• VFCFinder: Seamlessly Pairing Security Advisories and Patches [7.999059840893179]
  VFCFinderは、所定のセキュリティアドバイザリに対する、上位5位の脆弱性修正コミットを生成するツールである。 トップ5のコミットで正しいVFCを見つけた場合のリコールは96.6%、トップ1のコミットでは80.0%となる。 VFCFinderは9つの異なるプログラミング言語に一般化し、Top-1リコールの点で最先端のアプローチを36ポイント上回っている。
  論文  参考訳（メタデータ） (2023-11-02T18:30:12Z)
• A Comparative Study of Software Secrets Reporting by Secret Detection Tools [5.9347272469695245]
  GitGuardianの公開GitHubリポジトリの監視によると、2022年にはシークレットが2021と比較して67%加速した。 ベンチマークデータセットに対する5つのオープンソースと4つのプロプライエタリなツールの評価を行う。 GitHub Secret Scanner (75%)、Gitleaks (46%)、Commercial X (25%)、リコールに基づく上位3つのツールは、Gitleaks (88%)、SpectralOps (67%)、TruffleHog (52%)である。
  論文  参考訳（メタデータ） (2023-07-03T02:32:09Z)
• An Empirical Study on Workflows and Security Policies in Popular GitHub Repositories [9.048328480295224]
  オープンソースプロジェクトでは、誰でもコントリビュートできるので、アクティブな継続的インテグレーションと継続的デリバリ(CI/CD)パイプラインを持つことが重要です。 これらのプロジェクトの多くはGitHubにホストされており、メンテナが自動セキュリティポリシを作成することができる。 私たちはスター数に基づいてGitHubとセキュリティポリシーを何千もの人気のあるリポジトリで測定します。
  論文  参考訳（メタデータ） (2023-05-25T14:52:23Z)
• Detecting Security Patches via Behavioral Data in Code Repositories [11.052678122289871]
  Gitリポジトリ内の開発者動作のみを使用して,セキュリティパッチを自動的に識別するシステムを示す。 秘密のセキュリティパッチを88.3%、F1スコア89.8%で公開できることを示しました。
  論文  参考訳（メタデータ） (2023-02-04T06:43:07Z)
• Black-box Dataset Ownership Verification via Backdoor Watermarking [67.69308278379957]
  我々は、リリースデータセットの保護を、(目立たしい)サードパーティモデルのトレーニングに採用されているかどうかの検証として定式化する。 バックドアの透かしを通じて外部パターンを埋め込んでオーナシップの検証を行い,保護することを提案する。 具体的には、有毒なバックドア攻撃(例えばBadNets)をデータセットのウォーターマーキングに利用し、データセット検証のための仮説テストガイダンスメソッドを設計する。
  論文  参考訳（メタデータ） (2022-08-04T05:32:20Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。