論文の概要: Process-based Indicators of Vulnerability Re-Introducing Code Changes: An Exploratory Case Study

• arxiv url: http://arxiv.org/abs/2510.26676v1
• Date: Thu, 30 Oct 2025 16:45:36 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-10-31 16:05:09.906693
• Title: Process-based Indicators of Vulnerability Re-Introducing Code Changes: An Exploratory Case Study
• Title（参考訳）: 脆弱性のプロセスベース指標によるコード変更の再導入:探索的ケーススタディ
• Authors: Samiha Shimmi, Nicholas M. Synovic, Mona Rahimi, George K. Thiruvathukal,
• Abstract要約: この作業は、脆弱性の再導入の理解と緩和におけるコードの変更とともに、プロセスメトリクスの重要な役割を強調します。 我々のアプローチは、再導入が一つの孤立した行動の結果であることは滅多にないが、累積的な開発活動や社会技術的条件から生じることを強調している。
• 参考スコア（独自算出の注目度）: 2.204918347869259
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Software vulnerabilities often persist or re-emerge even after being fixed, revealing the complex interplay between code evolution and socio-technical factors. While source code metrics provide useful indicators of vulnerabilities, software engineering process metrics can uncover patterns that lead to their introduction. Yet few studies have explored whether process metrics can reveal risky development activities over time -- insights that are essential for anticipating and mitigating software vulnerabilities. This work highlights the critical role of process metrics along with code changes in understanding and mitigating vulnerability reintroduction. We move beyond file-level prediction and instead analyze security fixes at the commit level, focusing not only on whether a single fix introduces a vulnerability but also on the longer sequences of changes through which vulnerabilities evolve and re-emerge. Our approach emphasizes that reintroduction is rarely the result of one isolated action, but emerges from cumulative development activities and socio-technical conditions. To support this analysis, we conducted a case study on the ImageMagick project by correlating longitudinal process metrics such as bus factor, issue density, and issue spoilage with vulnerability reintroduction activities, encompassing 76 instances of reintroduced vulnerabilities. Our findings show that reintroductions often align with increased issue spoilage and fluctuating issue density, reflecting short-term inefficiencies in issue management and team responsiveness. These observations provide a foundation for broader studies that combine process and code metrics to predict risky fixes and strengthen software security.
• Abstract（参考訳）: ソフトウェア脆弱性は、修正後も持続または再燃し、コードの進化と社会技術的要因の間の複雑な相互作用を明らかにする。 ソースコードメトリクスは脆弱性の有用な指標を提供するが、ソフトウェアエンジニアリングプロセスメトリクスは導入につながるパターンを明らかにすることができる。 しかし、プロセスメトリクスが時間の経過とともにリスクの高い開発活動を明らかにすることができるかどうかを調査する研究はほとんどない。 この作業は、脆弱性の再導入の理解と緩和におけるコードの変更とともに、プロセスメトリクスの重要な役割を強調します。 ファイルレベルの予測を超えて、代わりにコミットレベルでセキュリティ修正を分析し、単一の修正が脆弱性を導入しただけでなく、脆弱性が進化して再起動する長い変更シーケンスにも焦点を合わせています。 我々のアプローチは、再導入が一つの孤立した行動の結果であることは滅多にないが、累積的な開発活動や社会技術的条件から生じることを強調している。 この分析を支援するために,バスファクター,イシュー密度,イシュー腐敗などの縦方向のプロセス指標を,76件の再導入脆弱性を含む脆弱性再導入活動と相関させることにより,ImageMagickプロジェクトのケーススタディを行った。 以上の結果から,再導入は課題管理やチーム応答性の短期的不効率を反映し,課題の悪化や課題密度の変動とよく一致していることがわかった。 これらの観察は、リスクのある修正を予測し、ソフトウェアセキュリティを強化するために、プロセスとコードメトリクスを組み合わせる幅広い研究の基盤を提供する。

関連論文リスト

• Evolaris: A Roadmap to Self-Evolving Software Intelligence Management [26.420587026083837]
  Evolarisはマルチエージェントフレームワーク上に構築された自己進化型のソフトウェアインテリジェンスシステムである。 エージェントは独立して動作するが、共有コンテキストを通じて協調して情報発見、推論、ギャップ補完、検証、リスク検出などのタスクを実行する。
  論文  参考訳（メタデータ） (2025-10-06T10:57:38Z)
• Your Agent May Misevolve: Emergent Risks in Self-evolving LLM Agents [58.69865074060139]
  エージェントの自己進化が意図しない方法で逸脱し、望ましくない結果や有害な結果に至る場合について検討する。 我々の経験から、誤進化は広範囲にわたるリスクであり、最上位のLSM上に構築されたエージェントにも影響を及ぼすことが判明した。 我々は、より安全で信頼性の高い自己進化型エージェントを構築するためのさらなる研究を促すための潜在的な緩和戦略について議論する。
  論文  参考訳（メタデータ） (2025-09-30T14:55:55Z)
• Weakly Supervised Vulnerability Localization via Multiple Instance Learning [46.980136742826836]
  WeAkly によるマルチプルインスタンス学習による脆弱性ローカライゼーションのための WAVES という新しい手法を提案する。 WAVESは、ある関数が脆弱かどうか(すなわち脆弱性検出)を判定し、脆弱なステートメントをピンポイントする機能を持っている。 提案手法は,文レベルの脆弱性ローカライゼーションにおいて,脆弱性検出と最先端のパフォーマンスにおいて同等のパフォーマンスを実現する。
  論文  参考訳（メタデータ） (2025-09-14T15:11:39Z)
• CARE: Decoding Time Safety Alignment via Rollback and Introspection Intervention [68.95008546581339]
  Contrastive Decodingのような既存のデコーディングタイムの介入は、安全と応答品質の間に深刻なトレードオフを強いることが多い。 本稿では,3つの重要なコンポーネントを統合した,復号時安全アライメントのための新しいフレームワークであるCAREを提案する。 このフレームワークは、安全性、品質、効率のバランスが良く、有害な応答率が低く、ユーザエクスペリエンスを最小限に破壊できる。
  論文  参考訳（メタデータ） (2025-09-01T04:50:02Z)
• Information Retrieval Induced Safety Degradation in AI Agents [52.15553901577888]
  本研究では,検索アクセスの拡大がモデル信頼性,バイアス伝搬,有害コンテンツ生成に与える影響について検討した。 整列 LLM 上に構築された検索可能なエージェントは、検索なしでの無検閲モデルよりも安全でない振る舞いをすることが多い。 これらの発見は、検索可能でますます自律的なAIシステムの公正性と信頼性を確保するための堅牢な緩和戦略の必要性を浮き彫りにしている。
  論文  参考訳（メタデータ） (2025-05-20T11:21:40Z)
• LLMs as Continuous Learners: Improving the Reproduction of Defective Code in Software Issues [62.12404317786005]
  EvoCoderは、イシューコード再現のための継続的学習フレームワークである。 その結果,既存のSOTA法よりも20%改善した。
  論文  参考訳（メタデータ） (2024-11-21T08:49:23Z)
• Trust, but Verify: Evaluating Developer Behavior in Mitigating Security Vulnerabilities in Open-Source Software Projects [0.11999555634662631]
  本研究では,オープンソースソフトウェア(OSS)プロジェクトの依存関係の脆弱性について検討する。 古い依存関係やメンテナンスされていない依存関係に共通する問題を特定しました。 その結果, 直接的な依存関係の削減と, 強力なセキュリティ記録を持つ高度に確立されたライブラリの優先順位付けが, ソフトウェアセキュリティの状況を改善する効果的な戦略であることが示唆された。
  論文  参考訳（メタデータ） (2024-08-26T13:46:48Z)
• Profile of Vulnerability Remediations in Dependencies Using Graph Analysis [40.35284812745255]
  本研究では,グラフ解析手法と改良型グラフ注意畳み込みニューラルネットワーク(GAT)モデルを提案する。 制御フローグラフを分析して、脆弱性の修正を目的とした依存性のアップグレードから発生するアプリケーションの変更をプロファイルします。 結果は、コード脆弱性のリレーショナルダイナミクスに関する微妙な洞察を提供する上で、強化されたGATモデルの有効性を示す。
  論文  参考訳（メタデータ） (2024-03-08T02:01:47Z)
• Do Internal Software Metrics Have Relationship with Fault-proneness and Change-proneness? [1.9526430269580959]
  私たちは、ApacheとEclipseのエコシステムにおける変更の発端と欠陥の発端の計測とともに、25の社内ソフトウェアメトリクスを特定しました。 ほとんどのメトリクスは、障害発生率とほとんど、あるいは全く相関を持っていません。 継承、結合、コメントに関連するメトリクスは、変更の傾向と中程度から高い相関を示した。
  論文  参考訳（メタデータ） (2023-09-23T07:19:41Z)
• Early Detection of Security-Relevant Bug Reports using Machine Learning: How Far Are We? [6.438136820117887]
  典型的なメンテナンスシナリオでは、セキュリティ関連バグレポートは、修正パッチを作成する際に開発チームによって優先される。 オープンなセキュリティ関連バグレポートは、攻撃者がゼロデイ攻撃を実行するために活用できる機密情報の重大な漏洩になる可能性がある。 近年,機械学習に基づくセキュリティ関連バグレポートの検出手法が,有望な性能で報告されている。
  論文  参考訳（メタデータ） (2021-12-19T11:30:29Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。