論文の概要: VFArchē: A Dual-Mode Framework for Locating Vulnerable Functions in Open-Source Software

• arxiv url: http://arxiv.org/abs/2506.18050v1
• Date: Sun, 22 Jun 2025 14:33:10 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-06-24 19:06:36.720771
• Title: VFArchē: A Dual-Mode Framework for Locating Vulnerable Functions in Open-Source Software
• Title（参考訳）: VFArchē: オープンソースソフトウェアにおける脆弱性関数の配置のためのデュアルモードフレームワーク
• Authors: Lyuye Zhang, Jian Zhang, Kaixuan Li, Chong Wang, Chengwei Liu, Jiahui Wu, Sen Chen, Yaowen Zheng, Yang Liu,
• Abstract要約: ソフトウェア構成分析(SCA)は、ソフトウェアプロジェクトの依存性に固有の脆弱性に対処する上で重要な役割を担っている。 VFArch=eは、脆弱性を公開するために設計されたデュアルモードのアプローチで、利用可能なパッチリンクの有無にかかわらず、シナリオに適用できる。 妥当な努力で50の脆弱性のうち43のVFを見つけ、SCAツールの78～89%の偽陽性を著しく減らしました。
• 参考スコア（独自算出の注目度）: 15.634212183627236
• License: http://creativecommons.org/licenses/by-nc-sa/4.0/
• Abstract: Software Composition Analysis (SCA) has become pivotal in addressing vulnerabilities inherent in software project dependencies. In particular, reachability analysis is increasingly used in Open-Source Software (OSS) projects to identify reachable vulnerabilities (e.g., CVEs) through call graphs, enabling a focus on exploitable risks. Performing reachability analysis typically requires the vulnerable function (VF) to track the call chains from downstream applications. However, such crucial information is usually unavailable in modern vulnerability databases like NVD. While directly extracting VF from modified functions in vulnerability patches is intuitive, patches are not always available. Moreover, our preliminary study shows that over 26% of VF do not exist in the modified functions. Meanwhile, simply ignoring patches to search vulnerable functions suffers from overwhelming noises and lexical gaps between descriptions and source code. Given that almost half of the vulnerabilities are equipped with patches, a holistic solution that handles both scenarios with and without patches is required. To meet real-world needs and automatically localize VF, we present VFArch\=e, a dual-mode approach designed for disclosed vulnerabilities, applicable in scenarios with or without available patch links. The experimental results of VFArch\=e on our constructed benchmark dataset demonstrate significant efficacy regarding three metrics, achieving 1.3x and 1.9x Mean Reciprocal Rank over the best baselines for Patch-present and Patch-absent modes, respectively. Moreover, VFArch\=e has proven its applicability in real-world scenarios by successfully locating VF for 43 out of 50 latest vulnerabilities with reasonable efforts and significantly reducing 78-89% false positives of SCA tools.
• Abstract（参考訳）: ソフトウェア構成分析(SCA)は、ソフトウェアプロジェクトの依存性に固有の脆弱性に対処する上で重要な役割を担っている。 特に、オープンソースのソフトウェア(OSS)プロジェクトでは、コールグラフを通じて到達可能な脆弱性(例えばCVE)を特定するために、リーチビリティ分析がますます使われています。 到達可能性分析を実行するには、通常、下流アプリケーションからコールチェーンを追跡するために脆弱な関数(VF)が必要となる。 しかしながら、このような重要な情報は、通常、NVDのような現代の脆弱性データベースでは利用できない。 脆弱性パッチの修正関数からVFを直接抽出することは直感的であるが、パッチは必ずしも利用できるとは限らない。 さらに,本研究は,VFの26%以上が修飾機能には存在しないことを示した。 一方、脆弱性のある関数を検索するためのパッチを無視することは、記述とソースコードの間の圧倒的なノイズと語彙的ギャップに悩まされる。 脆弱性のほぼ半数にパッチが備わっていることを考えると、パッチなしでシナリオを処理できる包括的なソリューションが必要である。 現実世界のニーズを満たし,VFを自動的にローカライズするために,脆弱性を公開するために設計されたデュアルモードアプローチであるVFArch\=eを提案する。 VFArch\=eが構築されたベンチマークデータセット上で行った実験結果は、3つの指標に対して有意な有効性を示し、それぞれ1.3xと1.9xの平均相反ランクを、パッチ現像モードとパッチ現像モードの最良のベースラインに対して達成した。 さらに、VFArch\=eは、50の最新の脆弱性のうち43のVFを合理的な努力で特定し、SCAツールの78～89%の偽陽性を著しく減らし、現実のシナリオで適用可能であることを証明した。

関連論文リスト

• Fixseeker: An Empirical Driven Graph-based Approach for Detecting Silent Vulnerability Fixes in Open Source Software [12.706661324384319]
  オープンソースソフトウェアの脆弱性は、ダウンストリームアプリケーションに重大なセキュリティリスクをもたらす。 多くのセキュリティパッチは、セキュリティへの影響を明確に示すことなく、OSSリポジトリの新しいコミットで静かにリリースされている。 グラフベースのアプローチであるFixseekerを提案し、ハンクレベルでのコード変更間の様々な相関関係を抽出し、無声脆弱性の修正を検出する。
  論文  参考訳（メタデータ） (2025-03-26T06:16:58Z)
• EXPLICATE: Enhancing Phishing Detection through Explainable AI and LLM-Powered Interpretability [44.2907457629342]
  EXPLICATEは、三成分アーキテクチャによるフィッシング検出を強化するフレームワークである。 既存のディープラーニング技術と同等ですが、説明性が向上しています。 自動AIとフィッシング検出システムにおけるユーザ信頼の重大な隔たりに対処する。
  論文  参考訳（メタデータ） (2025-03-22T23:37:35Z)
• Fine-Grained 1-Day Vulnerability Detection in Binaries via Patch Code Localization [12.73365645156957]
  バイナリの1日間の脆弱性は、ソフトウェアセキュリティに対する大きな脅威になっている。 パッチの有無テストは 脆弱性を検出する効果的な方法の1つです パッチコードとそのコンテキストから安定な値を利用するPLocatorという新しい手法を提案する。
  論文  参考訳（メタデータ） (2025-01-29T04:35:37Z)
• Vulnerability Detection with Code Language Models: How Far Are We? [40.455600722638906]
  PrimeVulは、脆弱性検出のためのコードLMのトレーニングと評価のための新しいデータセットである。 これは、人間の検証されたベンチマークに匹敵するラベルの精度を達成する、新しいデータラベリング技術を含んでいる。 また、厳密なデータ重複解消戦略と時系列データ分割戦略を実装して、データの漏洩問題を軽減している。
  論文  参考訳（メタデータ） (2024-03-27T14:34:29Z)
• ReposVul: A Repository-Level High-Quality Vulnerability Dataset [13.90550557801464]
  自動データ収集フレームワークを提案し,ReposVulと呼ばれる最初のリポジトリレベルの高品質な脆弱性データセットを構築した。 提案するフレームワークは,主に3つのモジュールから構成されている。(1)脆弱性解消モジュールは,脆弱性修正に関連するコード変更を,大規模言語モデル (LLM) と静的解析ツールを併用した,絡み合ったパッチから識別することを目的としたもので,(2)脆弱性の相互呼び出し関係の把握を目的とした多言語依存性抽出モジュールで,リポジトリレベル,ファイルレベル,関数レベルを含む各脆弱性パッチに対して,複数の粒度情報を構築する。
  論文  参考訳（メタデータ） (2024-01-24T01:27:48Z)
• SliceLocator: Locating Vulnerable Statements with Graph-based Detectors [33.395068754566935]
  SliceLocatorは、すべての潜在的な脆弱性トリガリングステートメントから、最も重み付けされたフローパスを選択することで、最も関連性の高いテントフローを特定する。 SliceLocatorは、最先端の4つのGNNベースの脆弱性検知器で一貫して動作することを示す。
  論文  参考訳（メタデータ） (2024-01-05T10:15:04Z)
• VFFINDER: A Graph-based Approach for Automated Silent Vulnerability-Fix Identification [4.837912059099674]
  VFFINDERは、サイレント脆弱性の自動検出のためのグラフベースのアプローチである。 これは、アテンションベースのグラフニューラルネットワークモデルを使用して、脆弱性修正コミットと非修正コミットを区別する。 以上の結果から,VFFINDERの精度は39～83%,リコール率19～148%,F1では30～109%向上した。
  論文  参考訳（メタデータ） (2023-09-05T05:55:18Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)
• Autosploit: A Fully Automated Framework for Evaluating the Exploitability of Security Vulnerabilities [47.748732208602355]
  Autosploitは脆弱性の悪用性を評価するためのフレームワークだ。 環境の異なる設定でエクスプロイトを自動的にテストする。 ノイズレス環境とノイズの多い環境の両方で脆弱性を悪用する能力に影響を与えるシステムの特性を識別することができる。
  論文  参考訳（メタデータ） (2020-06-30T18:49:18Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。