論文の概要: Open Source, Open Threats? Investigating Security Challenges in Open-Source Software

• arxiv url: http://arxiv.org/abs/2506.12995v1
• Date: Sun, 15 Jun 2025 23:22:25 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-06-17 17:28:47.281315
• Title: Open Source, Open Threats? Investigating Security Challenges in Open-Source Software
• Title（参考訳）: オープンソースとオープンソースの脅威? オープンソースソフトウェアにおけるセキュリティ上の課題を探る
• Authors: Seyed Ali Akhavani, Behzad Ousat, Amin Kharraz,
• Abstract要約: オープンソースソフトウェア(OSS)は、さまざまなドメインでますます人気が高まっている。 本稿ではOSSプラットフォームにおける報告された脆弱性の傾向とパターンについて考察する。
• 参考スコア（独自算出の注目度）: 0.7810572107832383
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Open-source software (OSS) has become increasingly more popular across different domains. However, this rapid development and widespread adoption come with a security cost. The growing complexity and openness of OSS ecosystems have led to increased exposure to vulnerabilities and attack surfaces. This paper investigates the trends and patterns of reported vulnerabilities within OSS platforms, focusing on the implications of these findings for security practices. To understand the dynamics of OSS vulnerabilities, we analyze a comprehensive dataset comprising 31,267 unique vulnerability reports from GitHub's advisory database and Snyk.io, belonging to 14,675 packages across 10 programming languages. Our analysis reveals a significant surge in reported vulnerabilities, increasing at an annual rate of 98%, far outpacing the 25% average annual growth in the number of open-source software (OSS) packages. Additionally, we observe an 85% increase in the average lifespan of vulnerabilities across ecosystems during the studied period, indicating a potential decline in security. We identify the most prevalent Common Weakness Enumerations (CWEs) across programming languages and find that, on average, just seven CWEs are responsible for over 50% of all reported vulnerabilities. We further examine these commonly observed CWEs and highlight ecosystem-specific trends. Notably, we find that vulnerabilities associated with intentionally malicious packages comprise 49% of reports in the NPM ecosystem and 14% in PyPI, an alarming indication of targeted attacks within package repositories. We conclude with an in-depth discussion of the characteristics and attack vectors associated with these malicious packages.
• Abstract（参考訳）: オープンソースソフトウェア(OSS)は、さまざまなドメインでますます人気が高まっている。 しかし、この急速な開発と広く採用されるには、セキュリティコストが伴う。 OSSエコシステムの複雑さとオープンさの増大により、脆弱性や攻撃面への露出が増加した。 本稿では,OSSプラットフォームにおける脆弱性報告の傾向とパターンを考察し,これらの発見がセキュリティ実践に与える影響に注目した。 OSS脆弱性のダイナミクスを理解するために、GitHubのアドバイザリデータベースとSnyk.ioから31,267のユニークな脆弱性レポートからなる包括的なデータセットを分析します。 我々の分析によると、報告された脆弱性が大幅に増加し、年率98%で増加し、オープンソースソフトウェア(OSS)パッケージのパッケージ数の平均25%をはるかに上回っている。 さらに,研究期間中に生態系全体の脆弱性の平均寿命が85%増加し,セキュリティが低下する可能性が示唆された。 プログラミング言語全体で最も多いCWE(Common Weakness Enumeration)を特定し、報告された脆弱性の50%以上をCWEが担っているのは、平均して7つに過ぎません。 さらに、これらの一般的なCWEについて検討し、生態系特有の傾向を強調した。 特に、故意に悪意のあるパッケージに関連する脆弱性は、NPMエコシステムで49%、PyPIで14%を占めており、パッケージリポジトリ内で標的となる攻撃を警告している。 我々はこれらの悪質パッケージに関連付けられた特徴と攻撃ベクトルについて、詳細な議論で結論づける。

関連論文リスト

• PoCGen: Generating Proof-of-Concept Exploits for Vulnerabilities in Npm Packages [16.130469984234956]
  PoCGenは、npmパッケージの脆弱性に対するPoCエクスプロイトを自動生成し、検証する新しいアプローチである。 大規模な言語モデル(LLM)をPoCエクスプロイト生成のための静的および動的解析技術と併用する、初めての完全自律型アプローチである。
  論文  参考訳（メタデータ） (2025-06-05T12:37:33Z)
• CyberGym: Evaluating AI Agents' Cybersecurity Capabilities with Real-World Vulnerabilities at Scale [46.76144797837242]
  大規模言語モデル(LLM)エージェントは、自律的なサイバーセキュリティタスクの処理において、ますます熟練している。 既存のベンチマークは不足していて、現実のシナリオをキャプチャできなかったり、スコープが限られていたりします。 我々はCyberGymを紹介した。CyberGymは1,507の現実世界の脆弱性を特徴とする大規模かつ高品質なサイバーセキュリティ評価フレームワークである。
  論文  参考訳（メタデータ） (2025-06-03T07:35:14Z)
• Eradicating the Unseen: Detecting, Exploiting, and Remediating a Path Traversal Vulnerability across GitHub [1.2124551005857036]
  オープンソースソフトウェアの脆弱性は、現代のデジタルエコシステムにカスケード効果をもたらす可能性がある。 1,756の脆弱性のあるオープンソースプロジェクトを特定しました。 当社は、この脆弱性をメンテナに責任を持って開示し、報告された脆弱性の14%が再報告されている。
  論文  参考訳（メタデータ） (2025-05-26T16:29:21Z)
• The Ripple Effect of Vulnerabilities in Maven Central: Prevalence, Propagation, and Mitigation Challenges [8.955037553566774]
  私たちはCommon Vulnerabilities and Exposuresデータを用いてMaven Centralエコシステム内の脆弱性の頻度と影響を分析します。 約400万リリースのサブサンプルでは、リリースの約1%に直接的な脆弱性があることが分かりました。 また、脆弱性のパッチに要する時間、特に重大または重大の脆弱性は、数年かかることが多いこともわかりました。
  論文  参考訳（メタデータ） (2025-04-05T13:45:27Z)
• SoK: Understanding Vulnerabilities in the Large Language Model Supply Chain [8.581429744090316]
  この研究は、13のライフサイクルステージにまたがる75の著名なプロジェクトにわたって報告された529の脆弱性を体系的に分析する。 その結果、脆弱性はアプリケーション(50.3%)とモデル(42.7%)に集中していることがわかった。 脆弱性の56.7%が修正されているが、これらのパッチの8%は効果がなく、繰り返し脆弱性が発生する。
  論文  参考訳（メタデータ） (2025-02-18T03:22:38Z)
• Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
  Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。 35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。 ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
  論文  参考訳（メタデータ） (2024-11-12T01:55:51Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• ThreatKG: An AI-Powered System for Automated Open-Source Cyber Threat Intelligence Gathering and Management [65.0114141380651]
  ThreatKGはOSCTIの収集と管理のための自動化システムである。 複数のソースから多数のOSCTIレポートを効率的に収集する。 さまざまな脅威エンティティに関する高品質な知識を抽出するために、AIベースの専門技術を使用する。
  論文  参考訳（メタデータ） (2022-12-20T16:13:59Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)
• A System for Automated Open-Source Threat Intelligence Gathering and Management [53.65687495231605]
  SecurityKGはOSCTIの収集と管理を自動化するシステムである。 AIとNLP技術を組み合わせて、脅威行動に関する高忠実な知識を抽出する。
  論文  参考訳（メタデータ） (2021-01-19T18:31:35Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。