論文の概要: Vulnerability Disclosure or Notification? Best Practices for Reaching Stakeholders at Scale
- arxiv url: http://arxiv.org/abs/2506.14323v1
- Date: Tue, 17 Jun 2025 09:04:26 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-06-18 17:34:59.401265
- Title: Vulnerability Disclosure or Notification? Best Practices for Reaching Stakeholders at Scale
- Title(参考訳): 脆弱性開示・通知 : 大規模株主獲得のためのベストプラクティス
- Authors: Ting-Han Chen, Jeroen van der Ham-de Vos,
- Abstract要約: セキュリティ研究者はセキュリティ脆弱性に関心を持っているが、これらのセキュリティ脆弱性はステークホルダーのリスクを生み出す。
協調脆弱性開示は、新しく発見された脆弱性を公開するための長年のベストプラクティスとして受け入れられてきた。
このプラクティスは、脆弱性の開示といくつかの類似点があるが、それと区別されるべきであり、他の課題を提供し、異なるアプローチを必要とする。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Security researchers are interested in security vulnerabilities, but these security vulnerabilities create risks for stakeholders. Coordinated Vulnerability Disclosure has been an accepted best practice for many years in disclosing newly discovered vulnerabilities. This practice has mostly worked, but it can become challenging when there are many different parties involved. There has also been research into known vulnerabilities, using datasets or active scans to discover how many machines are still vulnerable. The ethical guidelines suggest that researchers also make an effort to notify the owners of these machines. We posit that this differs from vulnerability disclosure, but rather the practice of vulnerability notification. This practice has some similarities with vulnerability disclosure but should be distinguished from it, providing other challenges and requiring a different approach. Based on our earlier disclosure experience and on prior work documenting their disclosure and notification operations, we provide a meta-review on vulnerability disclosure and notification to observe the shifts in strategies in recent years. We assess how researchers initiated their messaging and examine the outcomes. We then compile the best practices for the existing disclosure guidelines and for notification operations.
- Abstract(参考訳): セキュリティ研究者はセキュリティ脆弱性に関心を持っているが、これらのセキュリティ脆弱性はステークホルダーのリスクを生み出す。
協調脆弱性開示は、新しく発見された脆弱性を公開するための長年のベストプラクティスとして受け入れられてきた。
このプラクティスは主としてうまくいったが、多くの異なる関係者が関与している場合、難しくなる可能性がある。
既知の脆弱性の調査も行われており、データセットやアクティブスキャンを使用して、まだ脆弱なマシンの数を検出する。
倫理的ガイドラインは、研究者がこれらの機械の所有者に通知する努力も行なっていることを示唆している。
これは脆弱性の開示とは違い、むしろ脆弱性通知の実践であると仮定する。
このプラクティスは、脆弱性の開示といくつかの類似点があるが、それと区別されるべきであり、他の課題を提供し、異なるアプローチを必要とする。
これまでの公開経験と,その公開と通知操作を文書化する先行作業に基づいて,近年の戦略の変化を観察するための脆弱性開示と通知のメタレビューを提供する。
研究者はメッセージの開始方法を評価し、その結果を検証した。
次に、既存の開示ガイドラインと通知操作のためのベストプラクティスをコンパイルします。
関連論文リスト
- On Categorizing Open Source Software Security Vulnerability Reporting Mechanisms on GitHub [1.7174932174564534]
オープンソースプロジェクトはソフトウェア開発に不可欠だが、修正なしで脆弱性を公表することは、エクスプロイトのリスクを増大させる。
OpenSSF(Open Source Security Foundation)は、プロジェクトセキュリティを強化するための堅牢なセキュリティポリシーを促進することでこの問題に対処している。
現在の調査では、多くのプロジェクトがOpenSSFの基準で不十分なパフォーマンスを示しており、より強力なセキュリティプラクティスの必要性を示している。
論文 参考訳(メタデータ) (2025-02-11T09:23:24Z) - Illusions of Relevance: Using Content Injection Attacks to Deceive Retrievers, Rerankers, and LLM Judges [52.96987928118327]
検索,リランカー,大型言語モデル(LLM)の埋め込みモデルは,コンテンツインジェクション攻撃に対して脆弱であることがわかった。
主な脅威は,(1) 意味不明な内容や有害な内容の挿入,(2) 関連性を高めるために,問合せ全体あるいはキークエリ用語の挿入,の2つである。
本研究は, 注射内容の配置や関連物質と非関連物質とのバランスなど, 攻撃の成功に影響を与える要因を系統的に検討した。
論文 参考訳(メタデータ) (2025-01-30T18:02:15Z) - Rethinking the Vulnerabilities of Face Recognition Systems:From a Practical Perspective [53.24281798458074]
顔認識システム(FRS)は、監視やユーザー認証を含む重要なアプリケーションにますます統合されている。
最近の研究によると、FRSの脆弱性は敵(例えば、敵パッチ攻撃)やバックドア攻撃(例えば、データ中毒の訓練)であることが明らかになっている。
論文 参考訳(メタデータ) (2024-05-21T13:34:23Z) - Measuring the Exploitation of Weaknesses in the Wild [0.0]
弱点は、セキュリティ関連エラーを引き起こす操作を通じて悪用されるバグや障害タイプである。
この研究は、30日間の窓に対して野生で悪用されている弱点の確率を決定するための単純な測定基準を導入する。
分析の結果,92%の弱点が常に悪用されていないことが明らかとなった。
論文 参考訳(メタデータ) (2024-05-02T13:49:51Z) - Attack Techniques and Threat Identification for Vulnerabilities [1.1689657956099035]
優先順位付けと集中は、最高のリスク脆弱性に限られた時間を費やすことが重要になります。
この研究では、機械学習と自然言語処理技術、およびいくつかの公開データセットを使用します。
まず、脆弱性を一般的な弱点の標準セットにマッピングし、次に一般的な弱点を攻撃テクニックにマップします。
このアプローチは平均相反ランク(MRR)が0.95であり、最先端システムで報告されているものと同等の精度である。
論文 参考訳(メタデータ) (2022-06-22T15:27:49Z) - Early Detection of Security-Relevant Bug Reports using Machine Learning:
How Far Are We? [6.438136820117887]
典型的なメンテナンスシナリオでは、セキュリティ関連バグレポートは、修正パッチを作成する際に開発チームによって優先される。
オープンなセキュリティ関連バグレポートは、攻撃者がゼロデイ攻撃を実行するために活用できる機密情報の重大な漏洩になる可能性がある。
近年,機械学習に基づくセキュリティ関連バグレポートの検出手法が,有望な性能で報告されている。
論文 参考訳(メタデータ) (2021-12-19T11:30:29Z) - Certifiers Make Neural Networks Vulnerable to Availability Attacks [70.69104148250614]
私たちは初めて、逆転戦略が敵によって意図的に引き起こされる可能性があることを示します。
いくつかの入力や摂動のために自然に発生する障害に加えて、敵は故意にフォールバックを誘発するために訓練時間攻撃を使用することができる。
我々は2つの新しいアベイラビリティーアタックを設計し、これらの脅威の実用的妥当性を示す。
論文 参考訳(メタデータ) (2021-08-25T15:49:10Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。