論文の概要: Large-Scale Empirical Analysis of Continuous Fuzzing: Insights from 1 Million Fuzzing Sessions
- arxiv url: http://arxiv.org/abs/2510.16433v1
- Date: Sat, 18 Oct 2025 10:13:19 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-10-25 00:56:38.992431
- Title: Large-Scale Empirical Analysis of Continuous Fuzzing: Insights from 1 Million Fuzzing Sessions
- Title(参考訳): 連続ファジングの大規模実証分析:100万件のファジングセッションから
- Authors: Tatsuya Shirai, Olivier Nourry, Yutaro Kashiwa, Kenji Fujiwara, Yasutaka Kamei, Hajimu Iida,
- Abstract要約: 本研究の目的は,脆弱性検出における連続ファジィングの役割を明らかにすることである。
Googleが提供するオンラインサービスOSS-Fuzzから、イシューレポート、カバレッジレポート、ファジィログを収集します。
連続ファジィングが統合される前に、かなりの数のファジィングバグが存在することが明らかとなった。
- 参考スコア(独自算出の注目度): 0.07183613290627339
- License: http://creativecommons.org/publicdomain/zero/1.0/
- Abstract: Software vulnerabilities are constantly being reported and exploited in software products, causing significant impacts on society. In recent years, the main approach to vulnerability detection, fuzzing, has been integrated into the continuous integration process to run in short and frequent cycles. This continuous fuzzing allows for fast identification and remediation of vulnerabilities during the development process. Despite adoption by thousands of projects, however, it is unclear how continuous fuzzing contributes to vulnerability detection. This study aims to elucidate the role of continuous fuzzing in vulnerability detection. Specifically, we investigate the coverage and the total number of fuzzing sessions when fuzzing bugs are discovered. We collect issue reports, coverage reports, and fuzzing logs from OSS-Fuzz, an online service provided by Google that performs fuzzing during continuous integration. Through an empirical study of a total of approximately 1.12 million fuzzing sessions from 878 projects participating in OSS-Fuzz, we reveal that (i) a substantial number of fuzzing bugs exist prior to the integration of continuous fuzzing, leading to a high detection rate in the early stages; (ii) code coverage continues to increase as continuous fuzzing progresses; and (iii) changes in coverage contribute to the detection of fuzzing bugs. This study provides empirical insights into how continuous fuzzing contributes to fuzzing bug detection, offering practical implications for future strategies and tool development in continuous fuzzing.
- Abstract(参考訳): ソフトウェア脆弱性は、常に報告され、ソフトウェア製品で悪用され、社会に重大な影響を及ぼしている。
近年、脆弱性検出の主なアプローチであるファジングが継続的統合プロセスに統合され、短時間かつ頻繁なサイクルで実行されている。
この継続的ファジィ化は、開発プロセス中の脆弱性の迅速な識別と修正を可能にする。
しかし、何千ものプロジェクトによって採用されているにもかかわらず、継続的ファジィが脆弱性検出にどのように貢献するかは定かではない。
本研究の目的は,脆弱性検出における連続ファジィングの役割を明らかにすることである。
具体的には,ファジィバグ発見時のファジィセッションのカバレッジと総数について検討する。
私たちは、継続的統合中にファジングを実行するGoogleが提供するオンラインサービスOSS-Fuzzから、イシューレポート、カバレッジレポート、ファジングログを収集します。
OSS-Fuzzに参加する878のプロジェクトから,合計約1,12百万のファジリングセッションに関する実証研究を通じて,我々はそのことを明らかにした。
(i)連続ファジィングが統合される前には、かなりの数のファジィングバグが存在し、早期に高い検出率となる。
(ii) 継続的ファジィ化が進むにつれて、コードカバレッジが増加し続けます。
三 カバーの変更は、ファジィバグの検出に寄与する。
本研究は, 連続ファジィングがファジィングバグ検出にどのように貢献するかを実証的に把握し, 将来の戦略と連続ファジィングにおけるツール開発に実用的な意味を提供する。
関連論文リスト
- Enhancing Code Review through Fuzzing and Likely Invariants [13.727241655311664]
FuzzSightは、非クラッシングファジィ入力の潜在的な不変量を利用して、プログラムバージョン間での振る舞いの違いを強調するフレームワークである。
評価では、FuzzSightがレグレッションバグの75%、最大80%の脆弱性を24時間のファズリングによって発見しました。
論文 参考訳(メタデータ) (2025-10-17T10:30:22Z) - InsightQL: Advancing Human-Assisted Fuzzing with a Unified Code Database and Parameterized Query Interface [8.846926306547646]
InsightQLはファズブロッカ分析のための最初のヒューマンアシストフレームワークである。
統合データベースと直感的なパラメータ化クエリインターフェースによって提供されるInsightQLは、インサイトを体系的に抽出するのに役立つ。
FuzzBenchベンチマークによる14の人気のある現実世界ライブラリの実験では、InsightQLの有効性が実証された。
論文 参考訳(メタデータ) (2025-10-06T14:18:35Z) - What Do They Fix? LLM-Aided Categorization of Security Patches for Critical Memory Bugs [46.325755802511026]
我々は、LLM(Large Language Model)と細調整された小言語モデルに基づく2つのアプローチを統合するデュアルメタルパイプラインであるLMを開発した。
LMは、OOBまたはUAFの脆弱性に対処する最近のLinuxカーネルのパッチ5,140のうち111つを、手作業による検証によって90の正の正が確認された。
論文 参考訳(メタデータ) (2025-09-26T18:06:36Z) - LLAMA: Multi-Feedback Smart Contract Fuzzing Framework with LLM-Guided Seed Generation [56.84049855266145]
進化的突然変異戦略とハイブリッドテスト技術を統合したマルチフィードバックスマートコントラクトファジリングフレームワーク(LLAMA)を提案する。
LLAMAは、91%の命令カバレッジと90%のブランチカバレッジを達成すると同時に、148の既知の脆弱性のうち132が検出される。
これらの結果は、現実のスマートコントラクトセキュリティテストシナリオにおけるLAMAの有効性、適応性、実用性を強調している。
論文 参考訳(メタデータ) (2025-07-16T09:46:58Z) - An Empirical Study of Fuzz Harness Degradation [24.989253174000922]
510のオープンソースC/C++プロジェクトのためのハーネスを含む,GoogleのOSS-Fuzz継続的ファジィプラットフォームについて検討する。
ハーネスはファザーとプロジェクトの間のグルーコードなので、プロジェクトの変更に適応する必要があります。
我々の分析では、OSS-Fuzzのプロジェクトにおいて、一貫した全体的なファジィザカバレッジの比率が示され、明示的な更新がなくても、ハーネスのバグフィニング能力の驚くべき長寿が示されています。
論文 参考訳(メタデータ) (2025-05-09T16:39:20Z) - In the Magma chamber: Update and challenges in ground-truth vulnerabilities revival for automatic input generator comparison [42.95491588006701]
Magma氏は、現在のソフトウェアリリースで脆弱性のあるコードを再導入するフォワードポートの概念を紹介した。
彼らの成果は有望だが、現状では、このアプローチの保守性に対するアップデートが時間とともに欠落している。
我々は,MagmaのCVEの公開から4年後の可搬性を再評価することで,フォワードポーティングの課題を特徴づける。
論文 参考訳(メタデータ) (2025-03-25T17:59:27Z) - Demystifying OS Kernel Fuzzing with a Novel Taxonomy [42.56259589772939]
本研究はOSカーネルファジィングに関する最初の体系的研究である。
2017年から2024年にかけて、トップレベルの会場から99の学術研究の進捗状況をまとめることから始まる。
本稿では,カーネルファジングに特有の9つのコア機能に着目した,ステージベースファジングモデルとファジング分類法を提案する。
論文 参考訳(メタデータ) (2025-01-27T16:03:14Z) - FuzzCoder: Byte-level Fuzzing Test via Large Language Model [46.18191648883695]
我々は,攻撃を成功させることで,入力ファイルのパターンを学習するために,微調整された大言語モデル(FuzzCoder)を採用することを提案する。
FuzzCoderは、プログラムの異常な動作を引き起こすために、入力ファイル内の突然変異位置と戦略位置を予測することができる。
論文 参考訳(メタデータ) (2024-09-03T14:40:31Z) - Vulnerability Detection Through an Adversarial Fuzzing Algorithm [2.074079789045646]
本プロジェクトは,ファザがより多くの経路を探索し,短時間でより多くのバグを発見できるようにすることにより,既存のファザの効率を向上させることを目的としている。
逆法は、より効率的なファジィングのためのテストケースを生成するために、現在の進化アルゴリズムの上に構築されている。
論文 参考訳(メタデータ) (2023-07-21T21:46:28Z) - What Happens When We Fuzz? Investigating OSS-Fuzz Bug History [0.9772968596463595]
我々は2022年3月12日までにOSS-Fuzzが公表した44,102件の問題を分析した。
コードを含むバグの発生時期を推定するために,バグ貢献のコミットを特定し,検出から修正までのタイムラインを測定した。
論文 参考訳(メタデータ) (2023-05-19T05:15:36Z) - Beyond the Spectrum: Detecting Deepfakes via Re-Synthesis [69.09526348527203]
ディープフェイク(Deepfakes)として知られる非常に現実的なメディアは、現実の目から人間の目まで区別できない。
本研究では,テスト画像を再合成し,検出のための視覚的手がかりを抽出する,新しい偽検出手法を提案する。
種々の検出シナリオにおいて,提案手法の摂動に対する有効性の向上,GANの一般化,堅牢性を示す。
論文 参考訳(メタデータ) (2021-05-29T21:22:24Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。