論文の概要: Bytecode-centric Detection of Known-to-be-vulnerable Dependencies in Java Projects
- arxiv url: http://arxiv.org/abs/2510.19393v1
- Date: Wed, 22 Oct 2025 09:08:46 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-10-25 03:08:15.446075
- Title: Bytecode-centric Detection of Known-to-be-vulnerable Dependencies in Java Projects
- Title(参考訳): Javaプロジェクトにおける無意味な依存関係のバイトコード中心検出
- Authors: Stefan Schott, Serena Elisa Ponta, Wolfram Fischer, Jonas Klauke, Eric Bodden,
- Abstract要約: Java用のバイトコード中心の依存性スキャナであるJaralyzerを紹介します。
JaralyzerはOSS依存関係のメタデータやソースコードに依存しないが、依存関係のバイトコードを直接分析する。
このスキャナーは上記のすべての種類の修正で脆弱性を識別できる唯一のスキャナである。
- 参考スコア(独自算出の注目度): 2.337931591219808
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: On average, 71% of the code in typical Java projects comes from open-source software (OSS) dependencies, making OSS dependencies the dominant component of modern software code bases. This high degree of OSS reliance comes with a considerable security risk of adding known security vulnerabilities to a code base. To remedy this risk, researchers and companies have developed various dependency scanners, which try to identify inclusions of known-to-be-vulnerable OSS dependencies. However, there are still challenges that modern dependency scanners do not overcome, especially when it comes to dependency modifications, such as re-compilations, re-bundlings or re-packagings, which are common in the Java ecosystem. To overcome these challenges, we present Jaralyzer, a bytecode-centric dependency scanner for Java. Jaralyzer does not rely on the metadata or the source code of the included OSS dependencies being available but directly analyzes a dependency's bytecode. Our evaluation across 56 popular OSS components demonstrates that Jaralyzer outperforms other popular dependency scanners in detecting vulnerabilities within modified dependencies. It is the only scanner capable of identifying vulnerabilities across all the above mentioned types of modifications. But even when applied to unmodified dependencies, Jaralyzer outperforms the current state-of-the-art code-centric scanner Eclipse Steady by detecting 28 more true vulnerabilities and yielding 29 fewer false warnings.
- Abstract(参考訳): 一般的なJavaプロジェクトのコードの71%はオープンソースソフトウェア(OSS)に依存しており、OSS依存関係が現代のソフトウェアコードベースの主要なコンポーネントとなっている。
この高いOSS依存度には、既知のセキュリティ脆弱性をコードベースに追加する、相当なセキュリティリスクが伴う。
このリスクを解消するため、研究者や企業は、既知のOSS依存関係のインクルージョンを特定するために、さまざまな依存性スキャナを開発した。
しかし、特にJavaエコシステムで一般的な再コンパイル、再バンドル、再パッケージングといった依存性修正に関しては、現代の依存関係スキャナでは克服できない課題がまだ残っている。
これらの課題を克服するために、Java用のバイトコード中心の依存性スキャナであるJaralyzerを紹介します。
JaralyzerはOSS依存関係のメタデータやソースコードに依存しないが、依存関係のバイトコードを直接分析する。
56のOSSコンポーネントに対する我々の評価は、Jiralyzerが修正された依存関係内の脆弱性の検出において、他の一般的な依存性スキャナよりも優れていることを示している。
このスキャナーは上記のすべての種類の修正で脆弱性を識別できる唯一のスキャナである。
しかし、修正されていない依存関係に適用しても、Jaralyzerは現在の最先端のコード中心スキャナであるEclipse Steadyより優れている。
関連論文リスト
- Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。
35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。
ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
論文 参考訳(メタデータ) (2024-11-12T01:55:51Z) - An Overview and Catalogue of Dependency Challenges in Open Source Software Package Registries [52.23798016734889]
この記事では、OSSパッケージやライブラリに依存する依存関係関連の課題のカタログを提供する。
このカタログは、これらの課題を理解し、定量化し、克服するために行われた経験的研究に関する科学文献に基づいている。
論文 参考訳(メタデータ) (2024-09-27T16:20:20Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - The Code the World Depends On: A First Look at Technology Makers' Open Source Software Dependencies [3.6840775431698893]
オープンソースソフトウェア(OSS)サプライチェーンのセキュリティは、組織にとって懸念事項となっている。
OSS脆弱性に対処するには、オリジナルのパッケージに加えて、他の依存するソフトウェア製品を更新する必要がある。
どんなパッケージがパッチに最も重要か分からないため、OSSセキュリティの改善に最も必要とされています。
論文 参考訳(メタデータ) (2024-04-17T21:44:38Z) - Empirical Analysis of Vulnerabilities Life Cycle in Golang Ecosystem [0.773844059806915]
Golangの脆弱性のライフサイクルを総合的に調査した。
その結果、Golangエコシステムの66.10%のモジュールが脆弱性の影響を受けていることがわかった。
タグ付けされていない脆弱性やラベル付けされていない脆弱性の背後にある理由を分析することで、タイムリーリリースとインデクシングのパッチバージョンは、エコシステムのセキュリティを著しく向上させる可能性がある。
論文 参考訳(メタデータ) (2023-12-31T14:53:51Z) - Dependency Practices for Vulnerability Mitigation [4.710141711181836]
npmエコシステムの450以上の脆弱性を分析し、依存するパッケージが脆弱なままである理由を理解します。
依存関係によって感染した20万以上のnpmパッケージを特定します。
私たちは9つの機能を使って、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築しています。
論文 参考訳(メタデータ) (2023-10-11T19:48:46Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。