論文の概要: Characterizing Build Compromises Through Vulnerability Disclosure Analysis

• arxiv url: http://arxiv.org/abs/2511.01395v1
• Date: Mon, 03 Nov 2025 09:44:53 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-11-05 16:37:27.207969
• Title: Characterizing Build Compromises Through Vulnerability Disclosure Analysis
• Title（参考訳）: 脆弱性開示分析によるビルドの相違点の特徴付け
• Authors: Maimouna Tamah Diao, Moustapha Awwalou Diouf, Iyiola Emmanuel Olatunji, Abdoul Kader Kaboré, Gervais Mendy, Jacques Klein, Tegawendé F. Bissyandé,
• Abstract要約: 本稿では,ビルドプロセスを対象とした攻撃ベクトルの実証的分類法を提案する。 ソースコードの操作からコンパイラの妥協に至るまで、ビルドパイプライン全体のインジェクションポイントによってアタックベクターを分類します。 我々の分析によると、サプライチェーン攻撃の23.8%がビルドの脆弱性を悪用しており、依存関係の混乱とビルドスクリプトインジェクションが最も一般的なベクタを表す。
• 参考スコア（独自算出の注目度）: 9.08445613708978
• License: http://creativecommons.org/licenses/by-nc-sa/4.0/
• Abstract: The software build process transforms source code into deployable artifacts, representing a critical yet vulnerable stage in software development. Build infrastructure security poses unique challenges: the complexity of multi-component systems (source code, dependencies, build tools), the difficulty of detecting intrusions during compilation, and prevalent build non-determinism that masks malicious modifications. Despite these risks, the security community lacks a systematic understanding of build-specific attack vectors, hindering effective defense design. This paper presents an empirically-derived taxonomy of attack vectors targeting the build process, constructed through a large-scale CVE mining (of 621 vulnerability disclosures from the NVD database). We categorize attack vectors by their injection points across the build pipeline, from source code manipulation to compiler compromise. To validate our taxonomy, we analyzed 168 documented software supply chain attacks, identifying 40 incidents specifically targeting build phases. Our analysis reveals that 23.8\% of supply chain attacks exploit build vulnerabilities, with dependency confusion and build script injection representing the most prevalent vectors. Dataset available at: https://anonymous.4open.science/r/Taxonomizing-Build-Attacks-8BB0.
• Abstract（参考訳）: ソフトウェアビルドプロセスは、ソースコードをデプロイ可能なアーティファクトに変換する。 ビルドインフラストラクチャのセキュリティには、複数のコンポーネント(ソースコード、依存関係、ビルドツール)の複雑さ、コンパイル中の侵入を検出することの難しさ、悪意のある修正を隠蔽する一般的なビルド非決定性など、ユニークな課題がある。 これらのリスクにもかかわらず、セキュリティコミュニティはビルド固有の攻撃ベクトルを体系的に理解していないため、効果的な防御設計を妨げている。 本稿では,大規模なCVEマイニング(NVDデータベースからの621件の脆弱性開示)によって構築された,ビルドプロセスを対象とした攻撃ベクトルの実証的分類について述べる。 ソースコードの操作からコンパイラの妥協に至るまで、ビルドパイプライン全体のインジェクションポイントによってアタックベクターを分類します。 当社の分類を検証するため、168件のソフトウェアサプライチェーン攻撃を解析し、ビルドフェーズを対象とする40件のインシデントを特定した。 我々の分析によると、サプライチェーン攻撃の23.8%がビルドの脆弱性を悪用しており、依存関係の混乱とビルドスクリプトインジェクションが最も一般的なベクタを表す。 データセットは以下の通り:https://anonymous.4open.science/r/Taxonomizing-Build-Attacks-8BB0。

関連論文リスト

• Cuckoo Attack: Stealthy and Persistent Attacks Against AI-IDE [64.47951172662745]
  Cuckoo Attackは、悪意のあるペイロードを構成ファイルに埋め込むことで、ステルス性と永続的なコマンド実行を実現する新しい攻撃である。 攻撃パラダイムを初期感染と持続性という2つの段階に分類する。 当社は、ベンダーが製品のセキュリティを評価するために、実行可能な7つのチェックポイントを提供しています。
  論文  参考訳（メタデータ） (2025-09-19T04:10:52Z)
• CyberGym: Evaluating AI Agents' Real-World Cybersecurity Capabilities at Scale [45.97598662617568]
  我々は188のソフトウェアプロジェクトにわたる1,507の実際の脆弱性を特徴とする大規模ベンチマークであるCyberGymを紹介した。 我々はCyberGymが35のゼロデイ脆弱性と17の歴史的不完全なパッチを発見できることを示した。 これらの結果は、CyberGymは、サイバーセキュリティにおけるAIの進歩を測定するための堅牢なベンチマークであるだけでなく、直接的な現実世界のセキュリティ効果を生み出すためのプラットフォームでもあることを強調している。
  論文  参考訳（メタデータ） (2025-06-03T07:35:14Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• Patch2QL: Discover Cognate Defects in Open Source Software Supply Chain With Auto-generated Static Analysis Rules [1.9591497166224197]
  本稿では,SASTルールの自動生成によるOSSのコグネート欠陥の検出手法を提案する。 具体的には、プリパッチバージョンとポストパッチバージョンから重要な構文と意味情報を抽出する。 我々はPatch2QLというプロトタイプツールを実装し、それをC/C++の基本OSSに適用した。
  論文  参考訳（メタデータ） (2024-01-23T02:23:11Z)
• SliceLocator: Locating Vulnerable Statements with Graph-based Detectors [33.395068754566935]
  SliceLocatorは、すべての潜在的な脆弱性トリガリングステートメントから、最も重み付けされたフローパスを選択することで、最も関連性の高いテントフローを特定する。 SliceLocatorは、最先端の4つのGNNベースの脆弱性検知器で一貫して動作することを示す。
  論文  参考訳（メタデータ） (2024-01-05T10:15:04Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。