論文の概要: An Empirical Study of Security-Policy Related Issues in Open Source Projects

• arxiv url: http://arxiv.org/abs/2510.05604v1
• Date: Tue, 07 Oct 2025 06:02:18 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-10-08 17:57:08.119018
• Title: An Empirical Study of Security-Policy Related Issues in Open Source Projects
• Title（参考訳）: オープンソースプロジェクトにおけるセキュリティ関連問題に関する実証的研究
• Authors: Rintaro Kanaji, Brittany Reid, Yutaro Kashiwa, Raula Gaikovina Kula, Hajimu Iida,
• Abstract要約: GitHubは、脆弱性報告手順の概要を示すSECURITY.mdファイルを採用することを推奨している。 本研究は,オープンソースコミュニティ内の脆弱性報告プロセスにおいて,SECURITY.mdファイルが直面する課題を明らかにすることを目的とする。
• 参考スコア（独自算出の注目度）: 1.334459247781299
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: GitHub recommends that projects adopt a SECURITY.md file that outlines vulnerability reporting procedures. However, the effectiveness and operational challenges of such files are not yet fully understood. This study aims to clarify the challenges that SECURITY.md files face in the vulnerability reporting process within open-source communities. Specifically, we classified and analyzed the content of 711 randomly sampled issues related to SECURITY.md. We also conducted a quantitative comparative analysis of the close time and number of responses for issues concerning six community health files, including SECURITY.md. Our analysis revealed that 79.5% of SECURITY.md-related issues were requests to add the file, and reports that included links were closed, with a median time that was 2 days shorter. These findings offer practical insights for improving security reporting policies and community management, ultimately contributing to a more secure open-source ecosystem.
• Abstract（参考訳）: GitHubは、脆弱性報告手順の概要を示すSECURITY.mdファイルを採用することを推奨している。 しかし、これらのファイルの有効性と運用上の課題はまだ完全には理解されていない。 本研究は,オープンソースコミュニティ内の脆弱性報告プロセスにおいて,SECURITY.mdファイルが直面する課題を明らかにすることを目的とする。 具体的には,SECURITY.mdに関連する711件のランダムサンプリング内容の分類と分析を行った。 また, SECURITY.mdを含む6つの地域保健ファイルに関して, 近接時間と応答回数を定量的に比較検討した。 我々の分析によると、SECURITY.md関連の問題のうち79.5%がファイルの追加要求であり、リンクを含む報告は2日短縮された。 これらの発見は、セキュリティ報告ポリシーとコミュニティ管理を改善するための実践的な洞察を与え、最終的にはよりセキュアなオープンソースエコシステムに寄与する。

関連論文リスト

• FORGE: An LLM-driven Framework for Large-Scale Smart Contract Vulnerability Dataset Construction [34.20628333535654]
  FORGEはスマートコントラクト脆弱性データセットを構築するための最初の自動化アプローチである。 81,390のソリッドリティファイルと27,497の脆弱性を296のCWEカテゴリに分類したデータセットを生成した。 その結果、現在の検出能力の重大な制限が明らかになった。
  論文  参考訳（メタデータ） (2025-06-23T16:03:16Z)
• Beyond Jailbreaking: Auditing Contextual Privacy in LLM Agents [43.303548143175256]
  本研究では,リスクに対するエージェントの感受性を定量的に評価する,会話プライバシのための監査フレームワークを提案する。 CMPL(Conversational Manipulation for Privacy Leakage)フレームワークは、厳格なプライバシー命令を強制するエージェントをストレステストするために設計されている。
  論文  参考訳（メタデータ） (2025-06-11T20:47:37Z)
• When GPT Spills the Tea: Comprehensive Assessment of Knowledge File Leakage in GPTs [39.885773438374095]
  データセキュリティ姿勢管理(DSPM)にインスパイアされた新しいワークフローを活用することで、知識ファイル漏洩の包括的リスク評価を行う。 651,022 GPTメタデータ,11,820フロー,1,466応答の解析により,5つのリークベクトルを同定した。 これらのベクトルにより、敵はタイトル、コンテンツ、タイプ、サイズといった機密性の高い知識ファイルデータを抽出できる。
  論文  参考訳（メタデータ） (2025-05-30T20:08:08Z)
• On Categorizing Open Source Software Security Vulnerability Reporting Mechanisms on GitHub [1.7174932174564534]
  オープンソースプロジェクトはソフトウェア開発に不可欠だが、修正なしで脆弱性を公表することは、エクスプロイトのリスクを増大させる。 OpenSSF(Open Source Security Foundation)は、プロジェクトセキュリティを強化するための堅牢なセキュリティポリシーを促進することでこの問題に対処している。 現在の調査では、多くのプロジェクトがOpenSSFの基準で不十分なパフォーマンスを示しており、より強力なセキュリティプラクティスの必要性を示している。
  論文  参考訳（メタデータ） (2025-02-11T09:23:24Z)
• Investigating Vulnerability Disclosures in Open-Source Software Using Bug Bounty Reports and Security Advisories [6.814841205623832]
  私たちは,GitHubのセキュリティアドバイザリ3,798件と,OSSバグ報奨金レポート4,033件について,実証的研究を行った。 OSSの脆弱性がセキュリティアドバイザリやバグ報奨金報告からどのように伝播するかを説明する明示的なプロセスは、私たちが最初に決定します。
  論文  参考訳（メタデータ） (2025-01-29T16:36:41Z)
• Trust, but Verify: Evaluating Developer Behavior in Mitigating Security Vulnerabilities in Open-Source Software Projects [0.11999555634662631]
  本研究では,オープンソースソフトウェア(OSS)プロジェクトの依存関係の脆弱性について検討する。 古い依存関係やメンテナンスされていない依存関係に共通する問題を特定しました。 その結果, 直接的な依存関係の削減と, 強力なセキュリティ記録を持つ高度に確立されたライブラリの優先順位付けが, ソフトウェアセキュリティの状況を改善する効果的な戦略であることが示唆された。
  論文  参考訳（メタデータ） (2024-08-26T13:46:48Z)
• Characterising Contributions that Coincide with Vulnerability Mitigation in NPM Libraries [10.975379354505318]
  NPM GitHubプロジェクトは54の異なる脆弱性アドバイザリの影響を受け、合計4,699件のPRとイシューをマイニングしています。 ツール開発と開発者のワークロード管理の改善は、より効率的で効果的な脆弱性軽減プロセスを構築する可能性を秘めています。
  論文  参考訳（メタデータ） (2024-06-17T09:33:08Z)
• Efficiently Detecting Reentrancy Vulnerabilities in Complex Smart Contracts [35.26195628798847]
  既存の脆弱性検出ツールは、複雑なコントラクトにおける脆弱性の効率性や検出成功率の面では不十分である。 SliSEは、複雑なコントラクトに対するReentrancy脆弱性を検出する堅牢で効率的な方法を提供する。
  論文  参考訳（メタデータ） (2024-03-17T16:08:30Z)
• Profile of Vulnerability Remediations in Dependencies Using Graph Analysis [40.35284812745255]
  本研究では,グラフ解析手法と改良型グラフ注意畳み込みニューラルネットワーク(GAT)モデルを提案する。 制御フローグラフを分析して、脆弱性の修正を目的とした依存性のアップグレードから発生するアプリケーションの変更をプロファイルします。 結果は、コード脆弱性のリレーショナルダイナミクスに関する微妙な洞察を提供する上で、強化されたGATモデルの有効性を示す。
  論文  参考訳（メタデータ） (2024-03-08T02:01:47Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。