論文の概要: VDGraph: A Graph-Theoretic Approach to Unlock Insights from SBOM and SCA Data

• arxiv url: http://arxiv.org/abs/2507.20502v1
• Date: Mon, 28 Jul 2025 03:43:29 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-07-29 16:23:57.780937
• Title: VDGraph: A Graph-Theoretic Approach to Unlock Insights from SBOM and SCA Data
• Title（参考訳）: VDGraph: SBOMとSCAデータからのアンロックインサイトに対するグラフ理論アプローチ
• Authors: Howell Xia, Jonah Gluck, Sevval Simsek, David Sastre Medina, David Starobinski,
• Abstract要約: 本稿では,脆弱性と依存性データを総合的な視点に統合するための知識グラフベースの方法論であるVDGraphを紹介する。 VDGraphは、Software Bill of Materials(SBOM)とSoftware Composition Analysis(SCA)の出力を、ソフトウェアプロジェクトの依存関係と脆弱性のグラフ表現に統合します。 我々は、脆弱性が主に3つの依存性レベル以上の深さで出現していることを示し、直接的なまたは二次的な依存関係がより低い脆弱性密度を示し、より安全である傾向があることを示す。
• 参考スコア（独自算出の注目度）: 1.1417805445492082
• License: http://creativecommons.org/licenses/by-nc-nd/4.0/
• Abstract: The high complexity of modern software supply chains necessitates tools such as Software Bill of Materials (SBOMs) to manage component dependencies, and Software Composition Analysis (SCA) tools to identify vulnerabilities. While there exists limited integration between SBOMs and SCA tools, a unified view of complex dependency-vulnerability relationships remains elusive. In this paper, we introduce VDGraph, a novel knowledge graph-based methodology for integrating vulnerability and dependency data into a holistic view. VDGraph consolidates SBOM and SCA outputs into a graph representation of software projects' dependencies and vulnerabilities. We provide a formal description and analysis of the theoretical properties of VDGraph and present solutions to manage possible conflicts between the SBOM and SCA data. We further introduce and evaluate a practical, proof-of-concept implementation of VDGraph using two popular SBOM and SCA tools, namely CycloneDX Maven plugin and Google's OSV-Scanner. We apply VDGraph on 21 popular Java projects. Through the formulation of appropriate queries on the graphs, we uncover the existence of concentrated risk points (i.e., vulnerable components of high severity reachable through numerous dependency paths). We further show that vulnerabilities predominantly emerge at a depth of three dependency levels or higher, indicating that direct or secondary dependencies exhibit lower vulnerability density and tend to be more secure. Thus, VDGraph contributes a graph-theoretic methodology that improves visibility into how vulnerabilities propagate through complex, transitive dependencies. Moreover, our implementation, which combines open SBOM and SCA standards with Neo4j, lays a foundation for scalable and automated analysis across real-world projects.
• Abstract（参考訳）: 最新のソフトウェアサプライチェーンの複雑さは、コンポーネント依存関係を管理するためのSoftware Bill of Materials(SBOM)や脆弱性を特定するためのSoftware Composition Analysis(SCA)ツールなどのツールを必要とする。 SBOMとSCAツールの間には限定的な統合が存在するが、複雑な依存性と脆弱性の関係の統一されたビューは、いまだ解明されていない。 本稿では,脆弱性と依存性データを総合的な視点に統合するための知識グラフに基づく新しい方法論であるVDGraphを紹介する。 VDGraphは、SBOMとSCAの出力をソフトウェアプロジェクトの依存関係と脆弱性のグラフ表現に統合します。 本稿では,VDGraphの理論的特性の形式的記述と解析を行い,SBOMデータとSCAデータ間の競合を管理するためのソリューションを提案する。 さらに,SBOM と SCA ツール,すなわち CycloneDX Maven プラグインと Google の OSV-Scanner を使って,VDGraph の実用的で概念実証的な実装を紹介し,評価する。 私たちは、21の人気のあるJavaプロジェクトにVDGraphを適用します。 グラフ上の適切なクエリの定式化を通じて、集中リスクポイントの存在(すなわち、多数の依存経路を通じて到達可能な高重度な脆弱なコンポーネント)を明らかにする。 さらに、脆弱性が主に3つの依存性レベル以上の深さで出現していることを示し、直接的なあるいは二次的な依存関係がより低い脆弱性密度を示し、より安全である傾向があることを示しています。 このように、VDGraphは、複雑な推移的な依存関係を通じて脆弱性がどのように伝播するかの可視性を改善する、グラフ理論の方法論に貢献している。 さらに、オープンなSBOMとSCA標準をNeo4jと組み合わせた実装では、実世界のプロジェクトにわたってスケーラブルで自動化された分析の基盤を構築しています。

関連論文リスト

• Learning Efficient and Generalizable Graph Retriever for Knowledge-Graph Question Answering [75.12322966980003]
  大規模言語モデル(LLM)は、様々な領域にわたって強い帰納的推論能力を示している。 既存のRAGパイプラインのほとんどは非構造化テキストに依存しており、解釈可能性と構造化推論を制限する。 近年,知識グラフ解答のための知識グラフとLLMの統合について検討している。 KGQAにおける効率的なグラフ検索のための新しいフレームワークであるRAPLを提案する。
  論文  参考訳（メタデータ） (2025-06-11T12:03:52Z)
• RGL: A Graph-Centric, Modular Framework for Efficient Retrieval-Augmented Generation on Graphs [58.10503898336799]
  完全なRAGパイプラインをシームレスに統合するモジュラーフレームワークであるRAG-on-Graphs Library(RGL)を紹介した。 RGLは、さまざまなグラフフォーマットをサポートし、必須コンポーネントの最適化実装を統合することで、重要な課題に対処する。 評価の結果,RGLはプロトタイピングプロセスの高速化だけでなく,グラフベースRAGシステムの性能や適用性の向上も図っている。
  論文  参考訳（メタデータ） (2025-03-25T03:21:48Z)
• A Combined Feature Embedding Tools for Multi-Class Software Defect and Identification [2.2020053359163305]
  本稿では,GraphCodeBERTとGraph Convolutional Networkを組み合わせた実験手法であるCodeGraphNetを提案する。 この方法は、機能間の複雑な関係をキャプチャし、より正確な脆弱性の識別と分離を可能にする。 決定木とニューラルネットワークのハイブリッドであるDeepTreeモデルは、最先端のアプローチよりも優れています。
  論文  参考訳（メタデータ） (2024-11-26T17:33:02Z)
• RDSA: A Robust Deep Graph Clustering Framework via Dual Soft Assignment [18.614842530666834]
  我々は、Dual Soft Assignment (RDSA)を介してRobust Deep Graph Clustering Frameworkと呼ばれる新しいフレームワークを導入する。 RDSAは3つの主要なコンポーネントから構成される: (i) グラフのトポロジ的特徴とノード属性を効果的に統合するノード埋め込みモジュール、 (ii) ノード割り当てに親和性行列を利用することでグラフモジュラリティを改善する構造ベースのソフトアサインモジュール、 (iii) コミュニティランドマークを識別し、モデルの堅牢性を高めるためにノード割り当てを洗練させるノードベースのソフトアサインモジュール。 我々はRDSAを実世界の様々なデータセットで評価し、既存の状態と比較して優れた性能を示す。
  論文  参考訳（メタデータ） (2024-10-29T05:18:34Z)
• Profile of Vulnerability Remediations in Dependencies Using Graph Analysis [40.35284812745255]
  本研究では,グラフ解析手法と改良型グラフ注意畳み込みニューラルネットワーク(GAT)モデルを提案する。 制御フローグラフを分析して、脆弱性の修正を目的とした依存性のアップグレードから発生するアプリケーションの変更をプロファイルします。 結果は、コード脆弱性のリレーショナルダイナミクスに関する微妙な洞察を提供する上で、強化されたGATモデルの有効性を示す。
  論文  参考訳（メタデータ） (2024-03-08T02:01:47Z)
• Software Vulnerability Detection via Deep Learning over Disaggregated Code Graph Representation [57.92972327649165]
  この研究は、コードコーパスから安全でないパターンを自動的に学習するためのディープラーニングアプローチを探求する。 コードには解析を伴うグラフ構造が自然に認められるため,プログラムの意味的文脈と構造的規則性の両方を利用する新しいグラフニューラルネットワーク(GNN)を開発する。
  論文  参考訳（メタデータ） (2021-09-07T21:24:36Z)
• Spatial-Spectral Clustering with Anchor Graph for Hyperspectral Image [88.60285937702304]
  本稿では、HSIデータクラスタリングのための空間スペクトルクラスタリングとアンカーグラフ(SSCAG)という新しい非監視アプローチを提案する。 提案されたSSCAGは最先端のアプローチと競合する。
  論文  参考訳（メタデータ） (2021-04-24T08:09:27Z)
• Model-Agnostic Graph Regularization for Few-Shot Learning [60.64531995451357]
  グラフ組み込み数ショット学習に関する包括的な研究を紹介します。 本稿では,ラベル間のグラフ情報の組み込みによる影響をより深く理解できるグラフ正規化手法を提案する。 提案手法は,Mini-ImageNetで最大2%,ImageNet-FSで6.7%の性能向上を実現する。
  論文  参考訳（メタデータ） (2021-02-14T05:28:13Z)
• Information Obfuscation of Graph Neural Networks [96.8421624921384]
  本稿では,グラフ構造化データを用いた学習において,情報難読化による機密属性保護の問題について検討する。 本稿では,全変動量とワッサーシュタイン距離を交互に学習することで,事前決定された機密属性を局所的にフィルタリングするフレームワークを提案する。
  論文  参考訳（メタデータ） (2020-09-28T17:55:04Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。