論文の概要: CVE Breadcrumbs: Tracking Vulnerabilities Through Versioned Apache Libraries

• arxiv url: http://arxiv.org/abs/2512.02259v1
• Date: Mon, 01 Dec 2025 23:05:11 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-12-03 21:04:45.637786
• Title: CVE Breadcrumbs: Tracking Vulnerabilities Through Versioned Apache Libraries
• Title（参考訳）: CVE Breadcrumbs: バージョン管理されたApacheライブラリによる脆弱性の追跡
• Authors: Derek Garcia, Briana Lee, Ibrahim Matar, David Rickards, Andrew Zilnicki,
• Abstract要約: 我々はApacheエコシステムの歴史的分析を行い、"脆弱性のまとまり"に従っています。 本研究は, 再発, 開示タイムライン, 修復プラクティスの活用動向について検討する。 私たちのコントリビューションには、24,285のApacheライブラリ、1,285のCVE、157のCWEを含む、キュレートされたデータセットと、実証的な発見と開発者中心のレコメンデーションが含まれています。
• 参考スコア（独自算出の注目度）: 0.22835610890984162
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: The Apache Software Foundation (ASF) ecosystem underpins a vast portion of modern software infrastructure, powering widely used components such as Log4j, Tomcat, and Struts. However, the ubiquity of these libraries has made them prime targets for high-impact security vulnerabilities, as illustrated by incidents like Log4Shell. Despite their widespread adoption, Apache projects are not immune to recurring and severe security weaknesses. We conduct a historical analysis of the Apache ecosystem to follow the "breadcrumb trail of vulnerabilities" by compiling a comprehensive dataset of Common Vulnerabilities and Exposures (CVEs) and Common Weakness Enumerations (CWEs). We examine trends in exploit recurrence, disclosure timelines, and remediation practices. Our analysis is guided by four key research questions: (1) What are the most persistent and repeated CWEs in Apache libraries? (2) How long do CVEs persist before being addressed? (3) What is the delay between CVE introduction and official disclosure? and (4) How long after disclosure are CVEs remediated? We present a detailed timeline of vulnerability lifecycle stages across Apache libraries and offer insights to improve secure coding practices, vulnerability monitoring, and remediation strategies. Our contributions include a curated dataset covering 24,285 Apache libraries, 1,285 CVEs, and 157 CWEs, along with empirical findings and developer-focused recommendations.
• Abstract（参考訳）: Apache Software Foundation(ASF)エコシステムは、現代のソフトウェアインフラの大部分を基盤としており、Log4j、Tomcat、Strutsといった広く使われているコンポーネントを支えています。 しかし、これらのライブラリが多用したことで、Log4Shellのようなインシデントによって説明されているように、高インパクトなセキュリティ脆弱性の主要なターゲットとなっている。 広く採用されているにも拘わらず、Apacheプロジェクトは、繰り返し発生するセキュリティの弱点に免疫がない。 CVE(Common Vulnerabilities and Exposures)とCommon Weakness Enumerations(Common Weakness Enumerations)の包括的なデータセットをコンパイルすることで、Apacheエコシステムの“脆弱性のパンククルーブパス”に従うように、歴史的な分析を行います。 本研究は, 再発, 開示タイムライン, 修復プラクティスの活用動向について検討する。 1) Apacheライブラリで最も永続的で繰り返されるCWEとは何か? 2)CVEは対応する前にどのくらい持続するのか? (3)CVE導入と公式開示の遅れはどのようなものか。 および(4)CVEはいつから再活性化されているか? 我々は、Apacheライブラリ全体の脆弱性ライフサイクルの詳細なタイムラインを示し、セキュアなコーディングプラクティス、脆弱性監視、修正戦略を改善するための洞察を提供する。 私たちのコントリビューションには、24,285のApacheライブラリ、1,285のCVE、157のCWEを含む、キュレートされたデータセットと、実証的な発見と開発者中心のレコメンデーションが含まれています。

関連論文リスト

• Automated Vulnerability Validation and Verification: A Large Language Model Approach [7.482522010482827]
  本稿では、生成AI、特に大規模言語モデル(LLM)を利用したエンドツーエンド多段階パイプラインを提案する。 本手法は,国立脆弱性データベース(National Vulnerability Database)のCVE開示情報から抽出する。 これは、Retrieval-Augmented Generation (RAG)を使用して、外部の公開知識(例えば、脅威アドバイザリ、コードスニペット)で拡張する。 パイプラインは生成されたアーティファクトを反復的に洗練し、テストケースでのアタック成功を検証し、複雑なマルチコンテナセットアップをサポートする。
  論文  参考訳（メタデータ） (2025-09-28T19:16:12Z)
• What Do They Fix? LLM-Aided Categorization of Security Patches for Critical Memory Bugs [46.325755802511026]
  我々は、LLM(Large Language Model)と細調整された小言語モデルに基づく2つのアプローチを統合するデュアルメタルパイプラインであるLMを開発した。 LMは、OOBまたはUAFの脆弱性に対処する最近のLinuxカーネルのパッチ5,140のうち111つを、手作業による検証によって90の正の正が確認された。
  論文  参考訳（メタデータ） (2025-09-26T18:06:36Z)
• The Ripple Effect of Vulnerabilities in Maven Central: Prevalence, Propagation, and Mitigation Challenges [8.955037553566774]
  私たちはCommon Vulnerabilities and Exposuresデータを用いてMaven Centralエコシステム内の脆弱性の頻度と影響を分析します。 約400万リリースのサブサンプルでは、リリースの約1%に直接的な脆弱性があることが分かりました。 また、脆弱性のパッチに要する時間、特に重大または重大の脆弱性は、数年かかることが多いこともわかりました。
  論文  参考訳（メタデータ） (2025-04-05T13:45:27Z)
• Understanding Software Vulnerabilities in the Maven Ecosystem: Patterns, Timelines, and Risks [1.5499426028105905]
  本稿では,Goblinフレームワークを用いて,Mavenエコシステムの脆弱性を大規模に解析する。 226個のCWEを持つ77,393個の脆弱性のあるリリースを特定します。 脆弱性の文書化には平均して50年近くかかり、解決には4.4年かかる。
  論文  参考訳（メタデータ） (2025-03-28T12:52:07Z)
• In the Magma chamber: Update and challenges in ground-truth vulnerabilities revival for automatic input generator comparison [42.95491588006701]
  Magma氏は、現在のソフトウェアリリースで脆弱性のあるコードを再導入するフォワードポートの概念を紹介した。 彼らの成果は有望だが、現状では、このアプローチの保守性に対するアップデートが時間とともに欠落している。 我々は,MagmaのCVEの公開から4年後の可搬性を再評価することで,フォワードポーティングの課題を特徴づける。
  論文  参考訳（メタデータ） (2025-03-25T17:59:27Z)
• Tracing Vulnerabilities in Maven: A Study of CVE lifecycles and Dependency Networks [0.46040036610482665]
  本研究では,Mavenにおける3,362個のCVEのライフサイクルを分析し,脆弱性軽減のパターンを明らかにし,リスクパッケージに影響を与える要因を特定する。 キーとなる発見は、"Publish-Before-Patch"シナリオにおけるトレンドである。
  論文  参考訳（メタデータ） (2025-02-07T02:43:35Z)
• Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
  Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。 35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。 ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
  論文  参考訳（メタデータ） (2024-11-12T01:55:51Z)
• On Security Weaknesses and Vulnerabilities in Deep Learning Systems [32.14068820256729]
  具体的には、ディープラーニング(DL)フレームワークについて検討し、DLシステムにおける脆弱性に関する最初の体系的な研究を行う。 各種データベースの脆弱性パターンを探索する2ストリームデータ分析フレームワークを提案する。 我々は,脆弱性のパターンと修正の課題をよりよく理解するために,3,049個のDL脆弱性を大規模に検討した。
  論文  参考訳（メタデータ） (2024-06-12T23:04:13Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。