論文の概要: Chasing One-day Vulnerabilities Across Open Source Forks

• arxiv url: http://arxiv.org/abs/2511.05097v1
• Date: Fri, 07 Nov 2025 09:25:47 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-11-10 21:00:44.719994
• Title: Chasing One-day Vulnerabilities Across Open Source Forks
• Title（参考訳）: オープンソースフォーク全体にわたる1日間の脆弱性の解決
• Authors: Romain Lefeuvre, Charly Reux, Stefano Zacchiroli, Olivier Barais, Benoit Combemale,
• Abstract要約: 本稿では,フォークリポジトリにおける1日の脆弱性の特定を支援する新しいアプローチを提案する。 このアプローチは、コミットレベルで脆弱性情報を伝播し、自動インパクト分析を実行する。 修正を組み込んでいないフォークプロジェクトを自動的に検出し、潜在的に脆弱な状態にしておくことができる。
• 参考スコア（独自算出の注目度）: 3.777973175977788
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Tracking vulnerabilities inherited from third-party open-source components is a well-known challenge, often addressed by tracing the threads of dependency information. However, vulnerabilities can also propagate through forking: a repository forked after the introduction of a vulnerability, but before it is patched, may remain vulnerable in the fork well after being fixed in the original project. Current approaches for vulnerability analysis lack the commit-level granularity needed to track vulnerability introductions and fixes across forks, potentially leaving one-day vulnerabilities undetected. This paper presents a novel approach to help developers identify one-day vulnerabilities in forked repositories. Leveraging the global graph of public code, as captured by the Software Heritage archive, the approach propagates vulnerability information at the commit level and performs automated impact analysis. This enables automatic detection of forked projects that have not incorporated fixes, leaving them potentially vulnerable. Starting from 7162 repositories that, according to OSV, include vulnerable commits in their development histories, we identify 2.2 M forks, containing at least one vulnerable commit. Then we perform a strict filtering, allowing us to find 356 ___vulnerability, fork___ pairs impacting active and popular GitHub forks, we manually evaluate 65 pairs, finding 3 high-severity vulnerabilities, demonstrating the impact and applicability of this approach.
• Abstract（参考訳）: サードパーティのオープンソースコンポーネントから受け継いだ脆弱性を追跡することは、よく知られた課題であり、依存関係情報のスレッドをトレースすることで対処される。 脆弱性の導入後にフォークされたリポジトリだが、パッチがパッチされる前に、元のプロジェクトで修正された後も、フォークに脆弱性が残っている可能性がある。 脆弱性分析の現在のアプローチでは、脆弱性の導入とフォーク間の修正を追跡するために必要なコミットレベルの粒度が欠如しているため、1日の脆弱性は検出されていない可能性がある。 本稿では,フォークリポジトリにおける1日の脆弱性の特定を支援する新しいアプローチを提案する。 公開コードのグローバルグラフを活用することで、Software Heritageアーカイブが捉えたように、このアプローチは、コミットレベルで脆弱性情報を伝播し、自動的な影響分析を実行する。 これにより、修正を組み込んでいないフォークプロジェクトの自動検出が可能になり、潜在的な脆弱性が残る。 OSVによると、開発履歴に脆弱なコミットを含む7162リポジトリから、少なくとも1つの脆弱なコミットを含む2.2Mフォークを識別する。 その後、厳格なフィルタリングを行い、356の___vulnerability、fork___ pairsがアクティブで人気のあるGitHubフォークに影響を与え、65のペアを手作業で評価し、3つの高重脆弱性を発見し、このアプローチの影響と適用性を実証しました。

関連論文リスト

• Trace: Securing Smart Contract Repository Against Access Control Vulnerability [58.02691083789239]
  GitHubはソースコード、ドキュメント、設定ファイルを含む多数のスマートコントラクトリポジトリをホストしている。 サードパーティの開発者は、カスタム開発中にこれらのリポジトリからコードを参照、再利用、フォークすることが多い。 スマートコントラクトの脆弱性を検出する既存のツールは、複雑なリポジトリを扱う能力に制限されている。
  論文  参考訳（メタデータ） (2025-10-22T05:18:28Z)
• What Do They Fix? LLM-Aided Categorization of Security Patches for Critical Memory Bugs [46.325755802511026]
  我々は、LLM(Large Language Model)と細調整された小言語モデルに基づく2つのアプローチを統合するデュアルメタルパイプラインであるLMを開発した。 LMは、OOBまたはUAFの脆弱性に対処する最近のLinuxカーネルのパッチ5,140のうち111つを、手作業による検証によって90の正の正が確認された。
  論文  参考訳（メタデータ） (2025-09-26T18:06:36Z)
• Weakly Supervised Vulnerability Localization via Multiple Instance Learning [46.980136742826836]
  WeAkly によるマルチプルインスタンス学習による脆弱性ローカライゼーションのための WAVES という新しい手法を提案する。 WAVESは、ある関数が脆弱かどうか(すなわち脆弱性検出)を判定し、脆弱なステートメントをピンポイントする機能を持っている。 提案手法は,文レベルの脆弱性ローカライゼーションにおいて,脆弱性検出と最先端のパフォーマンスにおいて同等のパフォーマンスを実現する。
  論文  参考訳（メタデータ） (2025-09-14T15:11:39Z)
• Decompiling Smart Contracts with a Large Language Model [51.49197239479266]
  Etherscanの78,047,845のスマートコントラクトがデプロイされているにも関わらず(2025年5月26日現在)、わずか767,520 (1%)がオープンソースである。 この不透明さは、オンチェーンスマートコントラクトバイトコードの自動意味解析を必要とする。 バイトコードを可読でセマンティックに忠実なSolidityコードに変換する,先駆的な逆コンパイルパイプラインを導入する。
  論文  参考訳（メタデータ） (2025-06-24T13:42:59Z)
• PoCGen: Generating Proof-of-Concept Exploits for Vulnerabilities in Npm Packages [13.877936187495555]
  我々は,npmパッケージの脆弱性に対するPoCエクスプロイトを自律的に生成し,検証する新しいアプローチであるPoCGenを提案する。 PoCGenはSecBench$.jsデータセットの脆弱性の77%のエクスプロイトを生成することに成功した。
  論文  参考訳（メタデータ） (2025-06-05T12:37:33Z)
• Eradicating the Unseen: Detecting, Exploiting, and Remediating a Path Traversal Vulnerability across GitHub [1.2124551005857036]
  オープンソースソフトウェアの脆弱性は、現代のデジタルエコシステムにカスケード効果をもたらす可能性がある。 1,756の脆弱性のあるオープンソースプロジェクトを特定しました。 当社は、この脆弱性をメンテナに責任を持って開示し、報告された脆弱性の14%が再報告されている。
  論文  参考訳（メタデータ） (2025-05-26T16:29:21Z)
• Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
  Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。 35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。 ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
  論文  参考訳（メタデータ） (2024-11-12T01:55:51Z)
• Detecting Security Patches via Behavioral Data in Code Repositories [11.052678122289871]
  Gitリポジトリ内の開発者動作のみを使用して,セキュリティパッチを自動的に識別するシステムを示す。 秘密のセキュリティパッチを88.3%、F1スコア89.8%で公開できることを示しました。
  論文  参考訳（メタデータ） (2023-02-04T06:43:07Z)
• VulCurator: A Vulnerability-Fixing Commit Detector [8.32137934421055]
  VulCuratorは、より豊富な情報ソースでディープラーニングを活用するツールだ。 VulCuratorはF1スコアで最先端のベースラインを最大16.1%上回っている。
  論文  参考訳（メタデータ） (2022-09-07T16:11:31Z)
• Automated Mapping of Vulnerability Advisories onto their Fix Commits in Open Source Repositories [7.629717457706326]
  実践経験と機械学習(ML)を組み合わせたアプローチを提案する。 アドバイザリから脆弱性に関する鍵情報を含むアドバイザリレコードを抽出する。 影響を受けるプロジェクトのソースコードリポジトリから、候補となる修正コミットのサブセットを取得する。
  論文  参考訳（メタデータ） (2021-03-24T17:50:35Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。