論文の概要: Conflicting Scores, Confusing Signals: An Empirical Study of Vulnerability Scoring Systems

• arxiv url: http://arxiv.org/abs/2508.13644v1
• Date: Tue, 19 Aug 2025 08:54:58 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-08-20 15:36:31.861117
• Title: Conflicting Scores, Confusing Signals: An Empirical Study of Vulnerability Scoring Systems
• Title（参考訳）: スコアの衝突と信号の衝突--脆弱性スコーリングシステムの実証的研究
• Authors: Viktoria Koscinski, Mark Nelson, Ahmet Okutan, Robert Falso, Mehdi Mirakhorli,
• Abstract要約: この研究は、4つの公開脆弱性スコアリングシステムの大規模な結果リンクによる実験的な比較を初めて提供する。 私たちは、MicrosoftのPatch Tuesdayの4ヶ月の開示から得られた600の現実世界の脆弱性のデータセットを使用しています。
• 参考スコア（独自算出の注目度）: 4.286337370812793
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Accurately assessing software vulnerabilities is essential for effective prioritization and remediation. While various scoring systems exist to support this task, their differing goals, methodologies and outputs often lead to inconsistent prioritization decisions. This work provides the first large-scale, outcome-linked empirical comparison of four publicly available vulnerability scoring systems: the Common Vulnerability Scoring System (CVSS), the Stakeholder-Specific Vulnerability Categorization (SSVC), the Exploit Prediction Scoring System (EPSS), and the Exploitability Index. We use a dataset of 600 real-world vulnerabilities derived from four months of Microsoft's Patch Tuesday disclosures to investigate the relationships between these scores, evaluate how they support vulnerability management task, how these scores categorize vulnerabilities across triage tiers, and assess their ability to capture the real-world exploitation risk. Our findings reveal significant disparities in how scoring systems rank the same vulnerabilities, with implications for organizations relying on these metrics to make data-driven, risk-based decisions. We provide insights into the alignment and divergence of these systems, highlighting the need for more transparent and consistent exploitability, risk, and severity assessments.
• Abstract（参考訳）: ソフトウェアの脆弱性を正確に評価することは、効果的な優先順位付けと修正に不可欠です。 このタスクをサポートするための様々なスコアリングシステムが存在するが、それらの異なる目標、方法論、アウトプットは、しばしば矛盾した優先順位付け決定につながる。 本研究は、CVSS(Common Vulnerability Scoring System)、SSVC(Stakeholder-Specific Vulnerability Categorization)、EPSS(Exploit Prediction Scoring System)、エクスプロイタビリティ指数(Exploitability Index)の4つの公開脆弱性スコアシステムについて、大規模な結果リンクによる実証的な比較を行った。 当社は、MicrosoftのPatch Tuesdayの4ヶ月の公開から得られた600の現実世界の脆弱性のデータセットを使用して、これらのスコア間の関係を調査し、脆弱性管理タスクをどのようにサポートするか、これらのスコアが三段階にわたる脆弱性を分類し、現実世界のエクスプロイトリスクをキャプチャする能力を評価する。 私たちの調査では、スコアリングシステムが同じ脆弱性をランク付けする方法において、大きな違いが明らかになりました。 これらのシステムのアライメントと分散に関する洞察を提供し、より透明で一貫性のあるエクスプロイラビリティ、リスク、重大度評価の必要性を強調します。

関連論文リスト

• DATABench: Evaluating Dataset Auditing in Deep Learning from an Adversarial Perspective [59.66984417026933]
  内的特徴(IF)と外的特徴(EF)(監査のための技術導入)に依存した既存手法の分類を新たに導入する。 回避攻撃(evasion attack)は、データセットの使用を隠蔽するために設計されたもので、偽造攻撃(forgery attack)は、未使用のデータセットを誤って含んでいることを意図している。 さらに,既存手法の理解と攻撃目標に基づいて,回避のための分離・除去・検出,偽造の逆例に基づく攻撃方法など,系統的な攻撃戦略を提案する。 私たちのベンチマークであるData dataBenchは、17の回避攻撃、5の偽攻撃、9の攻撃で構成されています。
  論文  参考訳（メタデータ） (2025-07-08T03:07:15Z)
• Vulnerability Assessment Combining CVSS Temporal Metrics and Bayesian Networks [0.0]
  この研究は、時間次元を脆弱性評価に組み込むことによって、革新的なアプローチを示す。 提案手法はTemporal Scoreを動的に計算し,脆弱性データベースからのエクスプロイトや修正に関するデータを処理することでCVSS Base Scoreを更新する。
  論文  参考訳（メタデータ） (2025-06-23T14:53:17Z)
• A Relevance Model for Threat-Centric Ranking of Cybersecurity Vulnerabilities [0.29998889086656577]
  脆弱性の追跡と更新の絶え間ないプロセスは、サイバーセキュリティの専門家にとって最大の関心事だ。 我々は、MITRE ATT&CKから派生した敵対的基準を用いた脅威の軽減に特化して、脆弱性管理のためのフレームワークを提供する。 我々の結果は、サイバー脅威のアクターが標的にし、悪用される可能性のある脆弱性の特定に向けた平均71.5%から91.3%の改善を示している。
  論文  参考訳（メタデータ） (2024-06-09T23:29:12Z)
• SecScore: Enhancing the CVSS Threat Metric Group with Empirical Evidences [0.0]
  最も広く使用されている脆弱性スコアリングシステム(CVSS)の1つは、エクスプロイトコードが出現する可能性の増大に対処していない。 本稿では,CVSS Threatメトリックグループを強化した,革新的な脆弱性重大度スコアであるSecScoreを提案する。
  論文  参考訳（メタデータ） (2024-05-14T12:25:55Z)
• Chain-of-Thought Prompting of Large Language Models for Discovering and Fixing Software Vulnerabilities [21.787125867708962]
  大規模言語モデル(LLM)は、様々な領域において顕著な可能性を示している。 本稿では,LLMとチェーン・オブ・シント(CoT)を利用して,3つの重要なソフトウェア脆弱性解析タスクに対処する方法について検討する。 ベースラインよりもCoTにインスパイアされたプロンプトのかなりの優位性を示します。
  論文  参考訳（メタデータ） (2024-02-27T05:48:18Z)
• ASSERT: Automated Safety Scenario Red Teaming for Evaluating the Robustness of Large Language Models [65.79770974145983]
  ASSERT、Automated Safety Scenario Red Teamingは、セマンティックなアグリゲーション、ターゲットブートストラップ、敵の知識注入という3つの方法で構成されている。 このプロンプトを4つの安全領域に分割し、ドメインがモデルの性能にどのように影響するかを詳細に分析する。 統計的に有意な性能差は, 意味的関連シナリオにおける絶対分類精度が最大11%, ゼロショット逆数設定では最大19%の絶対誤差率であることがわかった。
  論文  参考訳（メタデータ） (2023-10-14T17:10:28Z)
• Binary Classification with Confidence Difference [100.08818204756093]
  本稿では,信頼性差分法 (ConfDiff) という,弱教師付き二項分類問題について考察する。 本稿では,この問題に対処するためのリスク一貫性のあるアプローチを提案し,推定誤差が最適収束率と一致することを示す。 また,整合性や収束率も証明されたオーバーフィッティング問題を緩和するためのリスク補正手法も導入する。
  論文  参考訳（メタデータ） (2023-10-09T11:44:50Z)
• OutCenTR: A novel semi-supervised framework for predicting exploits of vulnerabilities in high-dimensional datasets [0.0]
  私たちは、悪用される可能性のある脆弱性を予測するために、外れ値検出技術を使用しています。 本稿では,ベースライン外乱検出モデルを強化する次元削減手法であるOutCenTRを提案する。 実験の結果,F1スコアの5倍の精度向上が得られた。
  論文  参考訳（メタデータ） (2023-04-03T00:34:41Z)
• Free Lunch for Generating Effective Outlier Supervision [46.37464572099351]
  本稿では, ほぼ現実的な外乱監視を実現するための超効率的な手法を提案する。 提案したtextttBayesAug は,従来の方式に比べて偽陽性率を 12.50% 以上削減する。
  論文  参考訳（メタデータ） (2023-01-17T01:46:45Z)
• Exploring Robustness of Unsupervised Domain Adaptation in Semantic Segmentation [74.05906222376608]
  クリーンな画像とそれらの逆の例との一致を、出力空間における対照的な損失によって最大化する、逆向きの自己スーパービジョンUDA(ASSUDA)を提案する。 i) セマンティックセグメンテーションにおけるUDA手法のロバスト性は未解明のままであり, (ii) 一般的に自己スーパービジョン(回転やジグソーなど) は分類や認識などのイメージタスクに有効であるが, セグメンテーションタスクの識別的表現を学習する重要な監視信号の提供には失敗している。
  論文  参考訳（メタデータ） (2021-05-23T01:50:44Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。