Fugu-MT 論文翻訳(概要): An LLM-based Quantitative Framework for Evaluating High-Stealthy Backdoor Risks in OSS Supply Chains

論文の概要: An LLM-based Quantitative Framework for Evaluating High-Stealthy Backdoor Risks in OSS Supply Chains

arxiv url: http://arxiv.org/abs/2511.13341v1
Date: Mon, 17 Nov 2025 13:10:36 GMT
ステータス: 翻訳完了
システム内更新日: 2025-11-18 14:36:25.22276
Title: An LLM-based Quantitative Framework for Evaluating High-Stealthy Backdoor Risks in OSS Supply Chains
Title（参考訳）: OSSサプライチェーンにおける高速バックドアリスク評価のためのLCMに基づく定量的フレームワーク
Authors: Zihe Yan, Kai Luo, Haoyu Yang, Yang Yu, Zhuosheng Zhang, Guancheng Li,
Abstract要約: オープンソースのソフトウェアサプライチェーンは、効率的で便利なエンジニアリングプラクティスに貢献しています。基盤となる依存関係のメンテナンスの欠如とコミュニティ監査の不十分は、ソースコードのセキュリティを確保する上での課題を生み出します。オープンソースソフトウェアにおけるバックドアリスク評価のためのきめ細かいプロジェクト評価フレームワークを提案する。
参考スコア（独自算出の注目度）: 16.099037403682594
License: http://creativecommons.org/licenses/by/4.0/
Abstract: In modern software development workflows, the open-source software supply chain contributes significantly to efficient and convenient engineering practices. With increasing system complexity, using open-source software as third-party dependencies has become a common practice. However, the lack of maintenance for underlying dependencies and insufficient community auditing create challenges in ensuring source code security and the legitimacy of repository maintainers, especially under high-stealthy backdoor attacks exemplified by the XZ-Util incident. To address these problems, we propose a fine-grained project evaluation framework for backdoor risk assessment in open-source software. The framework models stealthy backdoor attacks from the viewpoint of the attacker and defines targeted metrics for each attack stage. In addition, to overcome the limitations of static analysis in assessing the reliability of repository maintenance activities such as irregular committer privilege escalation and limited participation in reviews, the framework uses large language models (LLMs) to conduct semantic evaluation of code repositories without relying on manually crafted patterns. The framework is evaluated on sixty six high-priority packages in the Debian ecosystem. The experimental results indicate that the current open-source software supply chain is exposed to various security risks.
Abstract（参考訳）: 現代のソフトウェア開発ワークフローでは、オープンソースのソフトウェアサプライチェーンは、効率的で便利なエンジニアリングプラクティスに大きく貢献します。システムの複雑さが増すにつれ、サードパーティの依存関係としてオープンソースソフトウェアを使用するのが一般的になっている。しかしながら、ソースコードのセキュリティとリポジトリメンテナの正当性を保証する上で、基盤となる依存関係のメンテナンスの欠如とコミュニティの監査が不十分であることは、特にXZ-Utilインシデントによって実証された、高度なバックドア攻撃の下での課題を生み出している。これらの問題に対処するために,オープンソースソフトウェアにおけるバックドアリスク評価のためのきめ細かいプロジェクト評価フレームワークを提案する。フレームワークは攻撃者の視点でステルスなバックドア攻撃をモデル化し、攻撃ステージ毎にターゲットメトリクスを定義する。さらに、不規則なコミッタ権限エスカレーションやレビューへの参加制限といったリポジトリメンテナンスアクティビティの信頼性を評価する上で、静的解析の限界を克服するために、このフレームワークは、手作業によるパターンに依存しないコードリポジトリのセマンティック評価を行うために、大きな言語モデル(LLM)を使用している。このフレームワークはDebianエコシステムの6つの優先度の高いパッケージで評価されている。実験結果から,現在のオープンソースソフトウェアサプライチェーンは,さまざまなセキュリティリスクにさらされていることが明らかとなった。

関連論文リスト

A.S.E: A Repository-Level Benchmark for Evaluating Security in AI-Generated Code [49.009041488527544]
A.S.Eは、AI生成コードのセキュリティを評価するためのリポジトリレベルの評価ベンチマークである。現在の大規模言語モデル(LLM)は、セキュアなコーディングに苦戦している。大きな推論予算は、必ずしもより良いコード生成につながるとは限らない。
論文参考訳（メタデータ） (2025-08-25T15:11:11Z)
Predicting Abandonment of Open Source Software Projects with An Integrated Feature Framework [15.50732865972961]
オープンソースソフトウェア(OSS)は、現代のソフトウェア開発の基盤であるが、OSSプロジェクトの放棄が増加し、世界的なサプライチェーンが脅かされている。本研究では,OSSプロジェクトの放棄を2つのアプローチで確実に検出することで,これらの課題に対処する。この基盤の上に構築され、ユーザ中心、メンテナ中心、プロジェクトの進化的特徴をキャプチャする、放棄予測のための統合されたマルチパースペクティブな機能フレームワークを導入します。私たちの仕事は、大規模なOSSエコシステムにおける放棄リスクを理解し管理するための再現性、拡張性、実践者指向のサポートを提供します。
論文参考訳（メタデータ） (2025-07-29T10:45:24Z)
Wolves in the Repository: A Software Engineering Analysis of the XZ Utils Supply Chain Attack [0.8517406772939294]
デジタルエコノミーはオープンソースソフトウェア(OSS)をベースとしており、オープンソースコンポーネントを含む最新のアプリケーションの90%が見積もられている。本稿では,Xzutilsプロジェクト(-2024-3094)に対する高度な攻撃について検討する。私たちの分析では、ソフトウェアエンジニアリングのプラクティス自体を操作する新しい種類のサプライチェーン攻撃を明らかにしています。
論文参考訳（メタデータ） (2025-04-24T12:06:11Z)
SeCodePLT: A Unified Platform for Evaluating the Security of Code GenAI [58.29510889419971]
コード生成大型言語モデル(LLM)のセキュリティリスクと能力を評価するための既存のベンチマークは、いくつかの重要な制限に直面している。手動で検証し、高品質なシード例から始める、汎用的でスケーラブルなベンチマーク構築フレームワークを導入し、ターゲット突然変異を通じて拡張する。このフレームワークをPython、C/C++、Javaに適用すると、44のCWEベースのリスクカテゴリと3つのセキュリティ機能にまたがる5.9k以上のサンプルデータセットであるSeCodePLTが構築されます。
論文参考訳（メタデータ） (2024-10-14T21:17:22Z)
Trust, but Verify: Evaluating Developer Behavior in Mitigating Security Vulnerabilities in Open-Source Software Projects [0.11999555634662631]
本研究では,オープンソースソフトウェア(OSS)プロジェクトの依存関係の脆弱性について検討する。古い依存関係やメンテナンスされていない依存関係に共通する問題を特定しました。その結果, 直接的な依存関係の削減と, 強力なセキュリティ記録を持つ高度に確立されたライブラリの優先順位付けが, ソフトウェアセキュリティの状況を改善する効果的な戦略であることが示唆された。
論文参考訳（メタデータ） (2024-08-26T13:46:48Z)
Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
論文参考訳（メタデータ） (2024-05-03T07:18:45Z)
Code Ownership in Open-Source AI Software Security [18.779538756226298]
コードオーナシップのメトリクスを使用して、5つの著名なオープンソースAIソフトウェアプロジェクトにおける潜在的な脆弱性との相関を調査します。この結果は、ハイレベルなオーナシップ(マイナーなコントリビュータの数が限られている)と脆弱性の減少との間に肯定的な関係があることを示唆している。これらの新しいコードオーナシップメトリクスによって、プロジェクトキュレーターや品質保証の専門家が現場プロジェクトを評価し、ベンチマークするのを助けるために、Pythonベースのコマンドラインアプリケーションを実装しました。
論文参考訳（メタデータ） (2023-12-18T00:37:29Z)
Evaluating Model-free Reinforcement Learning toward Safety-critical Tasks [70.76757529955577]
本稿では、国家安全RLの観点から、この領域における先行研究を再考する。安全最適化と安全予測を組み合わせた共同手法であるUnrolling Safety Layer (USL)を提案する。この領域のさらなる研究を容易にするため、我々は関連するアルゴリズムを統一パイプラインで再現し、SafeRL-Kitに組み込む。
論文参考訳（メタデータ） (2022-12-12T06:30:17Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。