論文の概要: Vulnerability-Affected Versions Identification: How Far Are We?

• arxiv url: http://arxiv.org/abs/2509.03876v1
• Date: Thu, 04 Sep 2025 04:31:22 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-09-05 20:21:10.049882
• Title: Vulnerability-Affected Versions Identification: How Far Are We?
• Title（参考訳）: 脆弱性の影響のあるバージョンを識別する: どこまであるのか?
• Authors: Xingchu Chen, Chengwei Liu, Jialun Cao, Yang Xiao, Xinyue Cai, Yeting Li, Jingyi Shi, Tianqi Sun, Haiming Chen ang Wei Huo,
• Abstract要約: 本研究は,脆弱性に影響を及ぼすバージョンを同定した最初の包括的実証研究である。 ツールの精度は45.0%を超えず、依存、限定的な推論、厳密なマッチングロジックなどによる重要な課題がある。 本研究は,この重要な領域におけるツール開発,組み合わせ戦略,今後の研究の指針として,実用的な洞察を提供する。
• 参考スコア（独自算出の注目度）: 10.839363179891551
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Identifying which software versions are affected by a vulnerability is critical for patching, risk mitigation.Despite a growing body of tools, their real-world effectiveness remains unclear due to narrow evaluation scopes often limited to early SZZ variants, outdated techniques, and small or coarse-graineddatasets. In this paper, we present the first comprehensive empirical study of vulnerability affected versions identification. We curate a high quality benchmark of 1,128 real-world C/C++ vulnerabilities and systematically evaluate 12 representative tools from both tracing and matching paradigms across four dimensions: effectiveness at both vulnerability and version levels, root causes of false positives and negatives, sensitivity to patch characteristics, and ensemble potential. Our findings reveal fundamental limitations: no tool exceeds 45.0% accuracy, with key challenges stemming from heuristic dependence, limited semantic reasoning, and rigid matching logic. Patch structures such as add-only and cross-file changes further hinder performance. Although ensemble strategies can improve results by up to 10.1%, overall accuracy remains below 60.0%, highlighting the need for fundamentally new approaches. Moreover, our study offers actionable insights to guide tool development, combination strategies, and future research in this critical area. Finally, we release the replicated code and benchmark on our website to encourage future contributions.outdated techniques, and small or coarse grained datasets.
• Abstract（参考訳）: 脆弱性によってどのソフトウェアバージョンが影響を受けるかを特定することは、パッチやリスク軽減に不可欠である。ツールが成長しているにもかかわらず、その実際の有効性は、初期のSZZの亜種、時代遅れのテクニック、小さな、または粗い粒度のデータセットに制限される場合が多いため、不明確である。 本稿では,脆弱性に影響を及ぼすバージョンを同定した最初の包括的実証的研究について述べる。 我々は、1,128の現実世界のC/C++脆弱性の高品質なベンチマークをキュレートし、脆弱性とバージョンレベルでの有効性、偽陽性と負の根本原因、パッチの特性に対する感受性、およびアンサンブルポテンシャルの4次元にわたるトレースとマッチングのパラダイムから、12の代表的なツールを体系的に評価する。 ツールの精度は45.0%を超えず、ヒューリスティックな依存、限定的なセマンティック推論、厳密なマッチングロジックなどに起因する重要な課題がある。 add-onlyやcross-fileなどのパッチ構造はパフォーマンスをさらに損なう。 アンサンブル戦略は結果を最大10.1%改善することができるが、全体的な精度は60.0%以下であり、基本的な新しいアプローチの必要性を強調している。 さらに,本研究は,ツール開発,組み合わせ戦略,この重要な領域における今後の研究の指針として,実用的な洞察を提供する。 最後に、我々のウェブサイトで複製されたコードとベンチマークをリリースし、将来的なコントリビューションを奨励します。

関連論文リスト

• An Empirical Study of the Imbalance Issue in Software Vulnerability Detection [13.82245579667704]
  その約束にもかかわらず、ディープラーニングベースの脆弱性検出はまだ初期段階にある。 不均衡の問題(脆弱性のあるコードの数は極めて少ない)がこの現象の核心にあると推測する。 既存の不均衡なソリューションは、データセットや評価指標によって、異なるパフォーマンスを実現していることがわかった。
  論文  参考訳（メタデータ） (2026-02-12T15:05:47Z)
• An empirical analysis of zero-day vulnerabilities disclosed by the zero day initiative [0.0]
  この研究は、2024年1月から4月にかけて報告されたZero Day Initiative(ZDI)の脆弱性開示を分析します。 この研究の主な目的は、ゼロデイ脆弱性開示の傾向を特定し、ベンダー間の重大度分布を調べ、どの脆弱性特性が重大度を示すかを調べることである。
  論文  参考訳（メタデータ） (2025-12-16T23:15:19Z)
• DiffuGuard: How Intrinsic Safety is Lost and Found in Diffusion Large Language Models [50.21378052667732]
  我々は、ステップ内およびステップ間ダイナミクスという2つの異なる次元にわたるジェイルブレイク攻撃に対して、dLLM脆弱性の詳細な分析を行う。 デュアルステージアプローチによる脆弱性に対処する,トレーニング不要な防御フレームワークであるDiffuGuardを提案する。
  論文  参考訳（メタデータ） (2025-09-29T05:17:10Z)
• Deep Learning Models for Robust Facial Liveness Detection [56.08694048252482]
  本研究では,現代のアンチスプーフィング手法の欠陥に対処する新しい深層学習モデルを用いて,ロバストな解を提案する。 テクスチャ解析と実際の人間の特性に関連する反射特性を革新的に統合することにより、我々のモデルは、顕著な精度でレプリカと真の存在を区別する。
  論文  参考訳（メタデータ） (2025-08-12T17:19:20Z)
• LLMxCPG: Context-Aware Vulnerability Detection Through Code Property Graph-Guided Large Language Models [2.891351178680099]
  本稿では,コードプロパティグラフ(CPG)とLarge Language Models(LLM)を統合し,堅牢な脆弱性検出を行う新しいフレームワークを提案する。 より簡潔で正確なコードスニペット表現を提供するアプローチの能力は、より大きなコードセグメントの分析を可能にします。 実証的な評価は、検証済みデータセット間でLLMxCPGの有効性を示し、最先端のベースラインよりもF1スコアが15～40%改善されている。
  論文  参考訳（メタデータ） (2025-07-22T13:36:33Z)
• It Only Gets Worse: Revisiting DL-Based Vulnerability Detectors from a Practical Perspective [14.271145160443462]
  VulTegraは、脆弱性検出のためのスクラッチトレーニングされたDLモデルと事前トレーニングされたDLモデルを比較する。 最先端のSOTA(State-of-the-art)検出器は、依然として低い一貫性、限られた現実世界能力、スケーラビリティの課題に悩まされている。
  論文  参考訳（メタデータ） (2025-07-13T08:02:56Z)
• RoHOI: Robustness Benchmark for Human-Object Interaction Detection [78.18946529195254]
  ヒューマン・オブジェクト・インタラクション(HOI)検出は、コンテキスト認識支援を可能にするロボット・ヒューマン・アシストに不可欠である。 HOI検出のための最初のベンチマークを導入し、様々な課題下でモデルのレジリエンスを評価する。 我々のベンチマークであるRoHOIは、HICO-DETとV-COCOデータセットに基づく20の汚職タイプと、新しいロバストネスにフォーカスしたメトリクスを含んでいる。
  論文  参考訳（メタデータ） (2025-07-12T01:58:04Z)
• Mono: Is Your "Clean" Vulnerability Dataset Really Solvable? Exposing and Trapping Undecidable Patches and Beyond [10.072175823846973]
  既存のセキュリティパッチは、しばしば不正確なラベル、不十分なコンテキスト情報、決定不能なパッチに悩まされる。 信頼性のある脆弱性データセットを構築するための、人間の専門家の推論プロセスをシミュレートする、新しいフレームワークであるmonoを紹介します。 monoはラベリングエラーの31.0%を補正し、プロデュール間脆弱性の89%を回復し、CVEの16.7%が決定不能なパッチを含んでいることを明らかにした。
  論文  参考訳（メタデータ） (2025-06-04T07:43:04Z)
• Lie Detector: Unified Backdoor Detection via Cross-Examination Framework [68.45399098884364]
  半正直な設定で一貫したバックドア検出フレームワークを提案する。 本手法は,SoTAベースラインよりも5.4%,1.6%,11.9%の精度で検出性能が向上する。 特に、マルチモーダルな大規模言語モデルにおいて、バックドアを効果的に検出するのは、これが初めてである。
  論文  参考訳（メタデータ） (2025-03-21T06:12:06Z)
• Camouflage is all you need: Evaluating and Enhancing Language Model Robustness Against Camouflage Adversarial Attacks [53.87300498478744]
  自然言語処理(NLP)における敵攻撃の意義 本研究は、脆弱性評価とレジリエンス向上という2つの異なる段階において、この課題を体系的に探求する。 結果として、パフォーマンスとロバスト性の間のトレードオフが示唆され、いくつかのモデルは、ロバスト性を確保しながら、同様のパフォーマンスを維持している。
  論文  参考訳（メタデータ） (2024-02-15T10:58:22Z)
• ASSERT: Automated Safety Scenario Red Teaming for Evaluating the Robustness of Large Language Models [65.79770974145983]
  ASSERT、Automated Safety Scenario Red Teamingは、セマンティックなアグリゲーション、ターゲットブートストラップ、敵の知識注入という3つの方法で構成されている。 このプロンプトを4つの安全領域に分割し、ドメインがモデルの性能にどのように影響するかを詳細に分析する。 統計的に有意な性能差は, 意味的関連シナリオにおける絶対分類精度が最大11%, ゼロショット逆数設定では最大19%の絶対誤差率であることがわかった。
  論文  参考訳（メタデータ） (2023-10-14T17:10:28Z)
• A Discrepancy Aware Framework for Robust Anomaly Detection [51.710249807397695]
  本稿では,DAF(Disdisrepancy Aware Framework)を提案する。 本手法は,デコーダの欠陥同定に外見に依存しないキューを利用して,その合成外観への依存を緩和する。 単純な合成戦略の下では,既存の手法を大きなマージンで上回り,また,最先端のローカライゼーション性能も達成している。
  論文  参考訳（メタデータ） (2023-10-11T15:21:40Z)
• OutCenTR: A novel semi-supervised framework for predicting exploits of vulnerabilities in high-dimensional datasets [0.0]
  私たちは、悪用される可能性のある脆弱性を予測するために、外れ値検出技術を使用しています。 本稿では,ベースライン外乱検出モデルを強化する次元削減手法であるOutCenTRを提案する。 実験の結果,F1スコアの5倍の精度向上が得られた。
  論文  参考訳（メタデータ） (2023-04-03T00:34:41Z)
• A Unified Evaluation of Textual Backdoor Learning: Frameworks and Benchmarks [72.7373468905418]
  我々は,テキストバックドア学習の実装と評価を促進するオープンソースツールキットOpenBackdoorを開発した。 また,単純なクラスタリングに基づく防御ベースラインであるCUBEを提案する。
  論文  参考訳（メタデータ） (2022-06-17T02:29:23Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。