論文の概要: Beneath the Mask: Can Contribution Data Unveil Malicious Personas in Open-Source Projects?

• arxiv url: http://arxiv.org/abs/2508.13453v1
• Date: Tue, 19 Aug 2025 02:17:48 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-08-20 15:36:31.767939
• Title: Beneath the Mask: Can Contribution Data Unveil Malicious Personas in Open-Source Projects?
• Title（参考訳）: マスクの下に: コントリビューションデータはオープンソースプロジェクトにおける悪意あるペルソナを明らかにすることができるか?
• Authors: Ruby Nealon,
• Abstract要約: 本稿では、GitHubのコントリビューションから収集したオープンソースインテリジェンス(OSINT)データをグラフデータベースとグラフ理論を用いて分析し、他のオープンソースプロジェクト間で"JiaT75"ペルソナが示す異常な振る舞いを効率的に識別する方法を示す。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: In February 2024, after building trust over two years with project maintainers by making a significant volume of legitimate contributions, GitHub user "JiaT75" self-merged a version of the XZ Utils project containing a highly sophisticated, well-disguised backdoor targeting sshd processes running on systems with the backdoored package installed. A month later, this package began to be distributed with popular Linux distributions until a Microsoft employee discovered the backdoor while investigating how a recent system upgrade impacted the performance of SSH authentication. Despite its potential global impact, no tooling exists for monitoring and identifying anomalous behavior by personas contributing to other open-source projects. This paper demonstrates how Open Source Intelligence (OSINT) data gathered from GitHub contributions, analyzed using graph databases and graph theory, can efficiently identify anomalous behaviors exhibited by the "JiaT75" persona across other open-source projects.
• Abstract（参考訳）: 2024年2月、GitHubのユーザである"JiaT75"は、相当量の正当なコントリビューションによって、プロジェクトメンテナと2年以上の信頼関係を築き上げた後、XZ Utilsプロジェクトのバージョンを自己マージした。 1ヶ月後、このパッケージは人気のあるLinuxディストリビューションで配布され始め、Microsoftの従業員がバックドアを発見し、最近のシステムのアップグレードがSSH認証のパフォーマンスにどのように影響するかを調査した。 その潜在的なグローバルな影響にもかかわらず、他のオープンソースプロジェクトに貢献するペルソナによる異常な振る舞いの監視と識別のためのツールは存在しない。 本稿では、GitHubのコントリビューションから収集したオープンソースインテリジェンス(OSINT)データをグラフデータベースとグラフ理論を用いて分析し、他のオープンソースプロジェクト間で"JiaT75"ペルソナが示す異常な振る舞いを効率的に識別する方法について説明する。

関連論文リスト

• Eradicating the Unseen: Detecting, Exploiting, and Remediating a Path Traversal Vulnerability across GitHub [1.2124551005857036]
  オープンソースソフトウェアの脆弱性は、現代のデジタルエコシステムにカスケード効果をもたらす可能性がある。 1,756の脆弱性のあるオープンソースプロジェクトを特定しました。 当社は、この脆弱性をメンテナに責任を持って開示し、報告された脆弱性の14%が再報告されている。
  論文  参考訳（メタデータ） (2025-05-26T16:29:21Z)
• Wolves in the Repository: A Software Engineering Analysis of the XZ Utils Supply Chain Attack [0.8517406772939294]
  デジタルエコノミーはオープンソースソフトウェア(OSS)をベースとしており、オープンソースコンポーネントを含む最新のアプリケーションの90%が見積もられている。 本稿では,Xzutilsプロジェクト(-2024-3094)に対する高度な攻撃について検討する。 私たちの分析では、ソフトウェアエンジニアリングのプラクティス自体を操作する新しい種類のサプライチェーン攻撃を明らかにしています。
  論文  参考訳（メタデータ） (2025-04-24T12:06:11Z)
• Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
  Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。 35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。 ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
  論文  参考訳（メタデータ） (2024-11-12T01:55:51Z)
• OS-ATLAS: A Foundation Action Model for Generalist GUI Agents [55.37173845836839]
  OS-AtlasはGUIグラウンディングとOODエージェントタスクに優れた基礎的なGUIアクションモデルである。 現在までに1300万以上のGUI要素を含む、オープンソースのクロスプラットフォームGUI基盤コーパスをリリースしています。
  論文  参考訳（メタデータ） (2024-10-30T17:10:19Z)
• RepoAgent: An LLM-Powered Open-Source Framework for Repository-level Code Documentation Generation [79.83270415843857]
  コードドキュメンテーションを積極的に生成、保守、更新することを目的とした、大規模な言語モデルによるオープンソースフレームワークであるRepoAgentを紹介します。 RepoAgentは高品質なリポジトリレベルのドキュメントを生成するのに優れています。
  論文  参考訳（メタデータ） (2024-02-26T15:39:52Z)
• Enhancing Open-Domain Task-Solving Capability of LLMs via Autonomous Tool Integration from GitHub [79.31134731122462]
  オープンドメインのタスク解決能力を評価するためにOpenActベンチマークを導入します。 我々は,オープンドメインの進化するクエリに,GitHubから専門ツールを自律的に統合することで対処できる,新しいLLMベースのエージェントシステムであるOpenAgentを紹介する。
  論文  参考訳（メタデータ） (2023-12-28T15:47:30Z)
• A Comparative Study of Software Secrets Reporting by Secret Detection Tools [5.9347272469695245]
  GitGuardianの公開GitHubリポジトリの監視によると、2022年にはシークレットが2021と比較して67%加速した。 ベンチマークデータセットに対する5つのオープンソースと4つのプロプライエタリなツールの評価を行う。 GitHub Secret Scanner (75%)、Gitleaks (46%)、Commercial X (25%)、リコールに基づく上位3つのツールは、Gitleaks (88%)、SpectralOps (67%)、TruffleHog (52%)である。
  論文  参考訳（メタデータ） (2023-07-03T02:32:09Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)
• BackdoorBox: A Python Toolbox for Backdoor Learning [67.53987387581222]
  このPythonツールボックスは、代表的で高度なバックドア攻撃と防御を実装している。 研究者や開発者は、ベンチマークやローカルデータセットで、さまざまなメソッドを簡単に実装し、比較することができる。
  論文  参考訳（メタデータ） (2023-02-01T09:45:42Z)
• The OCEAN mailing list data set: Network analysis spanning mailing lists and code repositories [0.0]
  我々は、Pythonコミュニティのメーリングリストを組み合わせて標準化し、1995年から現在までの954,287のメッセージを得た。 これらのデータの有用性を示すために、私たちはCPythonリポジトリに集中し、技術的レイヤとソーシャルレイヤをマージします。 これらのデータがどのようにして、大規模なオープンソースプロジェクトにおける標準的な組織科学の理論をテストする実験室を提供するかについて議論する。
  論文  参考訳（メタデータ） (2022-04-01T17:50:15Z)
• LAGOON: An Analysis Tool for Open Source Communities [7.3861897382622015]
  LAGOONはオープンソースソフトウェア(OSS)コミュニティのエコシステムを理解するためのオープンソースプラットフォームである。 LAGOONはソースコードリポジトリ、イシュートラッカ、メーリングリスト、ウェブサイトからのコンテンツスクラップなど、いくつかの一般的なソースからアーティファクトを取り込みます。 OSSプロジェクトの完全な社会技術グラフの可視化と探索のためのユーザインターフェースを提供する。
  論文  参考訳（メタデータ） (2022-01-26T18:52:11Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。