論文の概要: An Empirical Study of Security-Policy Related Issues in Open Source Projects

• arxiv url: http://arxiv.org/abs/2510.05604v2
• Date: Thu, 16 Oct 2025 05:53:49 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-10-17 18:56:32.559519
• Title: An Empirical Study of Security-Policy Related Issues in Open Source Projects
• Title（参考訳）: オープンソースプロジェクトにおけるセキュリティ関連問題に関する実証的研究
• Authors: Rintaro Kanaji, Brittany Reid, Yutaro Kashiwa, Raula Gaikovina Kula, Hajimu Iida,
• Abstract要約: GitHubは、脆弱性報告手順の概要を示すセキュリティファイルを採用することを推奨している。 本研究の目的は,オープンソースコミュニティ内の脆弱性報告プロセスにおいて,セキュリティファイルが直面する課題を明らかにすることである。
• 参考スコア（独自算出の注目度）: 1.334459247781299
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: GitHub recommends that projects adopt a security file that outlines vulnerability reporting procedures. However, the effectiveness and operational challenges of such files are not yet fully understood. This study aims to clarify the challenges that security files face in the vulnerability reporting process within open-source communities. Specifically, we classified and analyzed the content of 711 randomly sampled issues related to security files. We also conducted a quantitative comparative analysis of the close time and number of responses for issues concerning six community health files, including security files. Our analysis revealed that 79.5% of security file-related issues were requests to add the file, and reports that included links were closed, with a median time that was 2 days shorter. These findings offer practical insights for improving security reporting policies and community management, ultimately contributing to a more secure open-source ecosystem.
• Abstract（参考訳）: GitHubは、脆弱性報告手順の概要を示すセキュリティファイルを採用することを推奨している。 しかし、これらのファイルの有効性と運用上の課題はまだ完全には理解されていない。 本研究の目的は,オープンソースコミュニティ内の脆弱性報告プロセスにおいて,セキュリティファイルが直面する課題を明らかにすることである。 具体的には,セキュリティファイルに関連する問題711件をランダムに分析し,分析した。 また,セキュリティファイルを含む6つの地域健康ファイルに関して,近接時間と応答回数を定量的に比較検討した。 分析の結果、セキュリティファイルに関連する問題のうち79.5%がファイルの追加要求であり、リンクを含む報告は2日短縮された。 これらの発見は、セキュリティ報告ポリシーとコミュニティ管理を改善するための実践的な洞察を与え、最終的にはよりセキュアなオープンソースエコシステムに寄与する。

関連論文リスト

• ORCA -- An Automated Threat Analysis Pipeline for O-RAN Continuous Development [57.61878484176942]
  Open-Radio Access Network (O-RAN)は、多くのソフトウェアコンポーネントをクラウドのようなデプロイメントに統合し、これまで考えられていなかったセキュリティ脅威に無線アクセスネットワークを開放する。 現在の脆弱性評価の実践は、しばしば手動、労働集約、主観的な調査に依存しており、脅威分析の不整合につながる。 人間の介入や関連するバイアスを最小限に抑えるために,自然言語処理(NLP)を活用する自動パイプラインを提案する。
  論文  参考訳（メタデータ） (2026-01-20T07:31:59Z)
• S3C2 SICP Summit 2025-06: Vulnerability Response Summit [51.90004414779634]
  NSFが支援するSecure Software Supply Chain Center (S3C2)とSoftware Innovation Campus Paderborn (SICP)の研究者たちが、脆弱性対応サミットを開催した。 サミットの目標は、ソフトウェアサプライチェーンのセキュリティに関する実践的な経験と課題を持つ業界実践者との共有を可能にすることだ。
  論文  参考訳（メタデータ） (2025-12-02T10:05:41Z)
• DeepResearchGuard: Deep Research with Open-Domain Evaluation and Multi-Stage Guardrails for Safety [55.30944259390733]
  ディープリサーチフレームワークは一般的に、信頼性、一貫性、幅、深さ、安全性などのレポート品質の重要な側面を見落としている。 DeEPRESEARCHGUARDは、4段階の安全ガードと参照とレポートのオープンドメイン評価を備えた総合的なフレームワークである。 我々は,GPT-4o,Gemini-2.5-flash,DeepSeek-v3,o4-miniなど,最先端のLLMのさまざまな評価を行った。
  論文  参考訳（メタデータ） (2025-10-13T04:11:21Z)
• FORGE: An LLM-driven Framework for Large-Scale Smart Contract Vulnerability Dataset Construction [34.20628333535654]
  FORGEはスマートコントラクト脆弱性データセットを構築するための最初の自動化アプローチである。 81,390のソリッドリティファイルと27,497の脆弱性を296のCWEカテゴリに分類したデータセットを生成した。 その結果、現在の検出能力の重大な制限が明らかになった。
  論文  参考訳（メタデータ） (2025-06-23T16:03:16Z)
• Beyond Jailbreaking: Auditing Contextual Privacy in LLM Agents [43.303548143175256]
  本研究では,リスクに対するエージェントの感受性を定量的に評価する,会話プライバシのための監査フレームワークを提案する。 CMPL(Conversational Manipulation for Privacy Leakage)フレームワークは、厳格なプライバシー命令を強制するエージェントをストレステストするために設計されている。
  論文  参考訳（メタデータ） (2025-06-11T20:47:37Z)
• "I wasn't sure if this is indeed a security risk": Data-driven Understanding of Security Issue Reporting in GitHub Repositories of Open Source npm Packages [8.360992461585308]
  この研究は、GitHubリポジトリ全体で報告された10,907,467件のnpmパッケージを収集した。 これらの問題に関連するタグは、セキュリティ関連の問題に0.13%しか存在しないことを示している。 手動解析のアプローチに続いて、高精度な機械学習モデルを構築し、セキュリティ関連の問題としてタグ付けされていない1,617,738件を特定した。
  論文  参考訳（メタデータ） (2025-06-09T13:11:35Z)
• When GPT Spills the Tea: Comprehensive Assessment of Knowledge File Leakage in GPTs [39.885773438374095]
  データセキュリティ姿勢管理(DSPM)にインスパイアされた新しいワークフローを活用することで、知識ファイル漏洩の包括的リスク評価を行う。 651,022 GPTメタデータ,11,820フロー,1,466応答の解析により,5つのリークベクトルを同定した。 これらのベクトルにより、敵はタイトル、コンテンツ、タイプ、サイズといった機密性の高い知識ファイルデータを抽出できる。
  論文  参考訳（メタデータ） (2025-05-30T20:08:08Z)
• LongSafety: Evaluating Long-Context Safety of Large Language Models [95.2469116388522]
  LongSafetyは、オープンエンドのロングコンテキストタスクの安全性を評価するために設計された最初のベンチマークである。 評価の結果,安全性の重大な脆弱性が明らかとなり,ほとんどのモデルが55%未満の安全性を達成できた。 本研究は,長期間の安全性向上の難しさと緊急性を強調した。
  論文  参考訳（メタデータ） (2025-02-24T08:54:39Z)
• On Categorizing Open Source Software Security Vulnerability Reporting Mechanisms on GitHub [1.7174932174564534]
  オープンソースプロジェクトはソフトウェア開発に不可欠だが、修正なしで脆弱性を公表することは、エクスプロイトのリスクを増大させる。 OpenSSF(Open Source Security Foundation)は、プロジェクトセキュリティを強化するための堅牢なセキュリティポリシーを促進することでこの問題に対処している。 現在の調査では、多くのプロジェクトがOpenSSFの基準で不十分なパフォーマンスを示しており、より強力なセキュリティプラクティスの必要性を示している。
  論文  参考訳（メタデータ） (2025-02-11T09:23:24Z)
• Investigating Vulnerability Disclosures in Open-Source Software Using Bug Bounty Reports and Security Advisories [6.814841205623832]
  私たちは,GitHubのセキュリティアドバイザリ3,798件と,OSSバグ報奨金レポート4,033件について,実証的研究を行った。 OSSの脆弱性がセキュリティアドバイザリやバグ報奨金報告からどのように伝播するかを説明する明示的なプロセスは、私たちが最初に決定します。
  論文  参考訳（メタデータ） (2025-01-29T16:36:41Z)
• Trust, but Verify: Evaluating Developer Behavior in Mitigating Security Vulnerabilities in Open-Source Software Projects [0.11999555634662631]
  本研究では,オープンソースソフトウェア(OSS)プロジェクトの依存関係の脆弱性について検討する。 古い依存関係やメンテナンスされていない依存関係に共通する問題を特定しました。 その結果, 直接的な依存関係の削減と, 強力なセキュリティ記録を持つ高度に確立されたライブラリの優先順位付けが, ソフトウェアセキュリティの状況を改善する効果的な戦略であることが示唆された。
  論文  参考訳（メタデータ） (2024-08-26T13:46:48Z)
• Characterising Contributions that Coincide with Vulnerability Mitigation in NPM Libraries [10.975379354505318]
  NPM GitHubプロジェクトは54の異なる脆弱性アドバイザリの影響を受け、合計4,699件のPRとイシューをマイニングしています。 ツール開発と開発者のワークロード管理の改善は、より効率的で効果的な脆弱性軽減プロセスを構築する可能性を秘めています。
  論文  参考訳（メタデータ） (2024-06-17T09:33:08Z)
• Efficiently Detecting Reentrancy Vulnerabilities in Complex Smart Contracts [35.26195628798847]
  既存の脆弱性検出ツールは、複雑なコントラクトにおける脆弱性の効率性や検出成功率の面では不十分である。 SliSEは、複雑なコントラクトに対するReentrancy脆弱性を検出する堅牢で効率的な方法を提供する。
  論文  参考訳（メタデータ） (2024-03-17T16:08:30Z)
• Profile of Vulnerability Remediations in Dependencies Using Graph Analysis [40.35284812745255]
  本研究では,グラフ解析手法と改良型グラフ注意畳み込みニューラルネットワーク(GAT)モデルを提案する。 制御フローグラフを分析して、脆弱性の修正を目的とした依存性のアップグレードから発生するアプリケーションの変更をプロファイルします。 結果は、コード脆弱性のリレーショナルダイナミクスに関する微妙な洞察を提供する上で、強化されたGATモデルの有効性を示す。
  論文  参考訳（メタデータ） (2024-03-08T02:01:47Z)
• Communicating on Security within Software Development Issue Tracking [0.0]
  著名なイシュートラッカからインターフェースを分析して、セキュリティコミュニケーションをどのようにサポートし、セキュリティスコアをどのように統合するかを確認します。 本研究ではCVSS分析に満足しなかったが,CVSSと互換性のある推論が可能であった。 これは、問題追跡ソフトウェアにおけるCVSSのような質問によるコミュニケーションの改善により、より良いセキュリティインタラクションが引き起こされる可能性があることを示唆している。
  論文  参考訳（メタデータ） (2023-08-25T16:38:27Z)
• Leveraging Traceability to Integrate Safety Analysis Artifacts into the Software Development Process [51.42800587382228]
  安全保証ケース(SAC)は、システムの進化中に維持することが困難である。 本稿では,ソフトウェアトレーサビリティを活用して,関連するシステムアーチファクトを安全解析モデルに接続する手法を提案する。 安全ステークホルダーがシステム変更が安全性に与える影響を分析するのに役立つように、システム変更の合理性を設計する。
  論文  参考訳（メタデータ） (2023-07-14T16:03:27Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。