論文の概要: Characterizing Build Compromises Through Vulnerability Disclosure Analysis

• arxiv url: http://arxiv.org/abs/2511.01395v1
• Date: Mon, 03 Nov 2025 09:44:53 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-11-05 16:37:27.207969
• Title: Characterizing Build Compromises Through Vulnerability Disclosure Analysis
• Title（参考訳）: 脆弱性開示分析によるビルドの相違点の特徴付け
• Authors: Maimouna Tamah Diao, Moustapha Awwalou Diouf, Iyiola Emmanuel Olatunji, Abdoul Kader Kaboré, Gervais Mendy, Jacques Klein, Tegawendé F. Bissyandé,
• Abstract要約: 本稿では,ビルドプロセスを対象とした攻撃ベクトルの実証的分類法を提案する。 ソースコードの操作からコンパイラの妥協に至るまで、ビルドパイプライン全体のインジェクションポイントによってアタックベクターを分類します。 我々の分析によると、サプライチェーン攻撃の23.8%がビルドの脆弱性を悪用しており、依存関係の混乱とビルドスクリプトインジェクションが最も一般的なベクタを表す。
• 参考スコア（独自算出の注目度）: 9.08445613708978
• License: http://creativecommons.org/licenses/by-nc-sa/4.0/
• Abstract: The software build process transforms source code into deployable artifacts, representing a critical yet vulnerable stage in software development. Build infrastructure security poses unique challenges: the complexity of multi-component systems (source code, dependencies, build tools), the difficulty of detecting intrusions during compilation, and prevalent build non-determinism that masks malicious modifications. Despite these risks, the security community lacks a systematic understanding of build-specific attack vectors, hindering effective defense design. This paper presents an empirically-derived taxonomy of attack vectors targeting the build process, constructed through a large-scale CVE mining (of 621 vulnerability disclosures from the NVD database). We categorize attack vectors by their injection points across the build pipeline, from source code manipulation to compiler compromise. To validate our taxonomy, we analyzed 168 documented software supply chain attacks, identifying 40 incidents specifically targeting build phases. Our analysis reveals that 23.8\% of supply chain attacks exploit build vulnerabilities, with dependency confusion and build script injection representing the most prevalent vectors. Dataset available at: https://anonymous.4open.science/r/Taxonomizing-Build-Attacks-8BB0.
• Abstract（参考訳）: ソフトウェアビルドプロセスは、ソースコードをデプロイ可能なアーティファクトに変換する。 ビルドインフラストラクチャのセキュリティには、複数のコンポーネント(ソースコード、依存関係、ビルドツール)の複雑さ、コンパイル中の侵入を検出することの難しさ、悪意のある修正を隠蔽する一般的なビルド非決定性など、ユニークな課題がある。 これらのリスクにもかかわらず、セキュリティコミュニティはビルド固有の攻撃ベクトルを体系的に理解していないため、効果的な防御設計を妨げている。 本稿では,大規模なCVEマイニング(NVDデータベースからの621件の脆弱性開示)によって構築された,ビルドプロセスを対象とした攻撃ベクトルの実証的分類について述べる。 ソースコードの操作からコンパイラの妥協に至るまで、ビルドパイプライン全体のインジェクションポイントによってアタックベクターを分類します。 当社の分類を検証するため、168件のソフトウェアサプライチェーン攻撃を解析し、ビルドフェーズを対象とする40件のインシデントを特定した。 我々の分析によると、サプライチェーン攻撃の23.8%がビルドの脆弱性を悪用しており、依存関係の混乱とビルドスクリプトインジェクションが最も一般的なベクタを表す。 データセットは以下の通り:https://anonymous.4open.science/r/Taxonomizing-Build-Attacks-8BB0。

関連論文リスト

• Cascaded Vulnerability Attacks in Software Supply Chains [1.628589561701473]
  本稿では,SBOMによるセキュリティ分析手法とツールに対する新しいアプローチを提案する。 我々は,スキャナ出力を独立したレコードとして扱うのではなく,依存関係構造上の脆弱性関係をモデル化する。 次に、不均一グラフ注意ネットワーク(HGAT)をトレーニングして、あるコンポーネントが少なくとも1つの既知の脆弱性と関連付けられているかどうかを予測する。
  論文  参考訳（メタデータ） (2026-01-28T01:31:09Z)
• ReasAlign: Reasoning Enhanced Safety Alignment against Prompt Injection Attack [52.17935054046577]
  本稿では、間接的インジェクション攻撃に対する安全性アライメントを改善するためのモデルレベルのソリューションであるReasAlignを提案する。 ReasAlignには、ユーザクエリの分析、競合する命令の検出、ユーザの意図したタスクの継続性を維持するための構造化された推論ステップが組み込まれている。
  論文  参考訳（メタデータ） (2026-01-15T08:23:38Z)
• The Trojan Knowledge: Bypassing Commercial LLM Guardrails via Harmless Prompt Weaving and Adaptive Tree Search [58.8834056209347]
  大規模言語モデル(LLM)は、有害な出力を誘導するために安全ガードレールをバイパスするジェイルブレイク攻撃に弱いままである。 CKA-Agent(Correlated Knowledge Attack Agent)は、ターゲットモデルの知識基盤の適応的木構造探索としてジェイルブレイクを再構成する動的フレームワークである。
  論文  参考訳（メタデータ） (2025-12-01T07:05:23Z)
• Data Poisoning Vulnerabilities Across Healthcare AI Architectures: A Security Threat Analysis [39.89241412792336]
  我々は,畳み込みニューラルネットワークに対するアーキテクチャ攻撃,大規模言語モデル,強化学習エージェントの4つのカテゴリの8つの攻撃シナリオを分析した。 以上の結果から,100～500サンプルしかアクセスできないアタッカーは,データセットのサイズに関わらず,医療AIを侵害する可能性が示唆された。 我々は、必要な敵検定、アンサンブルに基づく検出、プライバシー保護セキュリティ機構、AIセキュリティ標準に関する国際調整を含む多層防御を推奨する。
  論文  参考訳（メタデータ） (2025-11-14T07:16:16Z)
• Cuckoo Attack: Stealthy and Persistent Attacks Against AI-IDE [64.47951172662745]
  Cuckoo Attackは、悪意のあるペイロードを構成ファイルに埋め込むことで、ステルス性と永続的なコマンド実行を実現する新しい攻撃である。 攻撃パラダイムを初期感染と持続性という2つの段階に分類する。 当社は、ベンダーが製品のセキュリティを評価するために、実行可能な7つのチェックポイントを提供しています。
  論文  参考訳（メタデータ） (2025-09-19T04:10:52Z)
• CyberGym: Evaluating AI Agents' Real-World Cybersecurity Capabilities at Scale [45.97598662617568]
  我々は188のソフトウェアプロジェクトにわたる1,507の実際の脆弱性を特徴とする大規模ベンチマークであるCyberGymを紹介した。 我々はCyberGymが35のゼロデイ脆弱性と17の歴史的不完全なパッチを発見できることを示した。 これらの結果は、CyberGymは、サイバーセキュリティにおけるAIの進歩を測定するための堅牢なベンチマークであるだけでなく、直接的な現実世界のセキュリティ効果を生み出すためのプラットフォームでもあることを強調している。
  論文  参考訳（メタデータ） (2025-06-03T07:35:14Z)
• Eradicating the Unseen: Detecting, Exploiting, and Remediating a Path Traversal Vulnerability across GitHub [1.2124551005857036]
  オープンソースソフトウェアの脆弱性は、現代のデジタルエコシステムにカスケード効果をもたらす可能性がある。 1,756の脆弱性のあるオープンソースプロジェクトを特定しました。 当社は、この脆弱性をメンテナに責任を持って開示し、報告された脆弱性の14%が再報告されている。
  論文  参考訳（メタデータ） (2025-05-26T16:29:21Z)
• CRAFT: Characterizing and Root-Causing Fault Injection Threats at Pre-Silicon [3.6158033114580674]
  フォールトインジェクション攻撃は組み込みシステムに重大なセキュリティ脅威をもたらす。 物理的欠陥がシステムレベルの行動にどのように伝播するかの早期発見と理解は、サイバーインフラ構造を保護するために不可欠である。 この研究は、プレシリコン分析とポストシリコンバリデーションを組み合わせたフレームワークであるCRAFTを導入し、障害インジェクションの脆弱性を体系的に発見し分析する。
  論文  参考訳（メタデータ） (2025-03-05T20:17:46Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• Patch2QL: Discover Cognate Defects in Open Source Software Supply Chain With Auto-generated Static Analysis Rules [1.9591497166224197]
  本稿では,SASTルールの自動生成によるOSSのコグネート欠陥の検出手法を提案する。 具体的には、プリパッチバージョンとポストパッチバージョンから重要な構文と意味情報を抽出する。 我々はPatch2QLというプロトタイプツールを実装し、それをC/C++の基本OSSに適用した。
  論文  参考訳（メタデータ） (2024-01-23T02:23:11Z)
• SliceLocator: Locating Vulnerable Statements with Graph-based Detectors [33.395068754566935]
  SliceLocatorは、すべての潜在的な脆弱性トリガリングステートメントから、最も重み付けされたフローパスを選択することで、最も関連性の高いテントフローを特定する。 SliceLocatorは、最先端の4つのGNNベースの脆弱性検知器で一貫して動作することを示す。
  論文  参考訳（メタデータ） (2024-01-05T10:15:04Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。