論文の概要: Advanced Vulnerability Scanning for Open Source Software: Detection and Mitigation of Log4j Vulnerabilities
- arxiv url: http://arxiv.org/abs/2601.00235v1
- Date: Thu, 01 Jan 2026 06:58:11 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-01-05 15:04:33.329749
- Title: Advanced Vulnerability Scanning for Open Source Software: Detection and Mitigation of Log4j Vulnerabilities
- Title(参考訳): オープンソースソフトウェアの高度な脆弱性スキャン:Log4j脆弱性の検出と緩和
- Authors: Victor Wen, Zedong Peng,
- Abstract要約: 本研究の目的は,Log4jスキャンツールの開発である。
ソフトウェアの実世界の悪用性を評価し、偽陽性を減らすことができる。
GitHub Actionsを活用することで、当社のツールは、自動化された継続的スキャン機能を提供します。
- 参考スコア(独自算出の注目度): 0.2979301924660566
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Automated detection of software vulnerabilities remains a critical challenge in software security. Log4j is an industrial-grade Java logging framework listed as one of the top 100 critical open source projects. On Dec. 10, 2021 a severe vulnerability Log4Shell was disclosed before being fully patched with Log4j2 version 2.17.0 on Dec. 18, 2021. However, to this day about 4.1 million, or 33 percent of all Log4j downloads in the last 7 days contain vulnerable packages. Many Log4Shell scanners have since been created to detect if a user's installed Log4j version is vulnerable. Current detection tools primarily focus on identifying the version of Log4j installed, leading to numerous false positives, as they do not check if the software scanned is really vulnerable to malicious actors. This research aims to develop an advanced Log4j scanning tool that can evaluate the real-world exploitability of the software, thereby reducing false positives. Our approach first identifies vulnerabilities and then provides targeted recommendations for mitigating these detected vulnerabilities, along with instant feedback to users. By leveraging GitHub Actions, our tool offers automated and continuous scanning capabilities, ensuring timely identification of vulnerabilities as code changes occur. This integration into existing development workflows enables real-time monitoring and quicker responses to potential threats. We demonstrate the effectiveness of our approach by evaluating 28 open-source software projects across different releases, achieving an accuracy rate of 91.4% from a sample of 140 scans. Our GitHub action implementation is available at the GitHub marketplace and can be accessed by anyone interested in improving their software security and for future studies. This tool provides a dependable way to detect and mitigate vulnerabilities in open-source projects.
- Abstract(参考訳): ソフトウェア脆弱性の自動検出は、ソフトウェアセキュリティにおいて依然として重要な課題である。
Log4jは産業レベルのJavaロギングフレームワークで、重要なオープンソースプロジェクトのトップ100に挙げられている。
2021年12月10日、重大な脆弱性であるLog4Shellが公表され、2021年12月18日にLog4j2バージョン2.17.0で完全にパッチが適用された。
しかし、今日まで約4100万、または過去7日間のLog4jダウンロードの33%は、脆弱性のあるパッケージを含んでいる。
その後、多くのLog4Shellスキャナが作成され、ユーザのインストールしたLog4jバージョンが脆弱かどうかを検出するようになった。
現在の検出ツールは、インストールされたLog4jのバージョンを特定することに重点を置いている。
本研究の目的は、ソフトウェアの実世界の悪用性を評価し、偽陽性を低減できる高度なLog4jスキャンツールを開発することである。
当社のアプローチでは、まず脆弱性を特定し、検出された脆弱性を軽減し、ユーザへの即時フィードバックを提供する。
GitHub Actionsを活用することで、当社のツールは自動かつ継続的なスキャン機能を提供し、コード変更時の脆弱性のタイムリーな識別を保証します。
既存の開発ワークフローとの統合により、リアルタイム監視と潜在的な脅威に対する迅速な対応が可能になる。
我々は,異なるリリースにわたる28のオープンソースソフトウェアプロジェクトを評価し,140スキャンのサンプルから91.4%の精度を達成して,このアプローチの有効性を実証した。
当社のGitHubアクション実装はGitHubマーケットプレースで利用可能で、ソフトウェアセキュリティの改善や今後の研究に関心のある人なら誰でもアクセス可能です。
このツールは、オープンソースプロジェクトの脆弱性を検出し、軽減するための信頼性の高い方法を提供する。
関連論文リスト
- Chasing One-day Vulnerabilities Across Open Source Forks [3.777973175977788]
本稿では,フォークリポジトリにおける1日の脆弱性の特定を支援する新しいアプローチを提案する。
このアプローチは、コミットレベルで脆弱性情報を伝播し、自動インパクト分析を実行する。
修正を組み込んでいないフォークプロジェクトを自動的に検出し、潜在的に脆弱な状態にしておくことができる。
論文 参考訳(メタデータ) (2025-11-07T09:25:47Z) - Trace: Securing Smart Contract Repository Against Access Control Vulnerability [58.02691083789239]
GitHubはソースコード、ドキュメント、設定ファイルを含む多数のスマートコントラクトリポジトリをホストしている。
サードパーティの開発者は、カスタム開発中にこれらのリポジトリからコードを参照、再利用、フォークすることが多い。
スマートコントラクトの脆弱性を検出する既存のツールは、複雑なリポジトリを扱う能力に制限されている。
論文 参考訳(メタデータ) (2025-10-22T05:18:28Z) - Certifiably robust malware detectors by design [48.367676529300276]
設計によるロバストなマルウェア検出のための新しいモデルアーキテクチャを提案する。
すべての堅牢な検出器を特定の構造に分解することができ、それを経験的に堅牢なマルウェア検出器の学習に適用できることを示す。
我々のフレームワークERDALTはこの構造に基づいている。
論文 参考訳(メタデータ) (2025-08-10T09:19:29Z) - CyberGym: Evaluating AI Agents' Real-World Cybersecurity Capabilities at Scale [45.97598662617568]
我々は188のソフトウェアプロジェクトにわたる1,507の実際の脆弱性を特徴とする大規模ベンチマークであるCyberGymを紹介した。
我々はCyberGymが35のゼロデイ脆弱性と17の歴史的不完全なパッチを発見できることを示した。
これらの結果は、CyberGymは、サイバーセキュリティにおけるAIの進歩を測定するための堅牢なベンチマークであるだけでなく、直接的な現実世界のセキュリティ効果を生み出すためのプラットフォームでもあることを強調している。
論文 参考訳(メタデータ) (2025-06-03T07:35:14Z) - Eradicating the Unseen: Detecting, Exploiting, and Remediating a Path Traversal Vulnerability across GitHub [1.2124551005857036]
オープンソースソフトウェアの脆弱性は、現代のデジタルエコシステムにカスケード効果をもたらす可能性がある。
1,756の脆弱性のあるオープンソースプロジェクトを特定しました。
当社は、この脆弱性をメンテナに責任を持って開示し、報告された脆弱性の14%が再報告されている。
論文 参考訳(メタデータ) (2025-05-26T16:29:21Z) - Unraveling Log4Shell: Analyzing the Impact and Response to the Log4j Vulnerabil [0.7499722271664147]
本稿は、Log4Shell脆弱性の発見とそのエクスプロイトの可能性について詳述する。
政府やApache Software Foundation(Log4jライブラリを管理する)、それに影響を受けた企業など、さまざまな利害関係者に対する脆弱性の影響を調べている。
論文 参考訳(メタデータ) (2025-01-29T16:50:34Z) - Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。
35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。
ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
論文 参考訳(メタデータ) (2024-11-12T01:55:51Z) - How well does LLM generate security tests? [8.454827764115631]
開発者は生産性とソフトウェア品質を改善するために、しばしばサードパーティライブラリ(Lib)の上にソフトウェアを構築する。
こうした攻撃をサプライチェーン攻撃と呼び、2022年には742%増加した。
セキュリティテストを生成するためにChatGPT-4.0を使用しました。
論文 参考訳(メタデータ) (2023-10-01T16:00:58Z) - Detecting Security Patches via Behavioral Data in Code Repositories [11.052678122289871]
Gitリポジトリ内の開発者動作のみを使用して,セキュリティパッチを自動的に識別するシステムを示す。
秘密のセキュリティパッチを88.3%、F1スコア89.8%で公開できることを示しました。
論文 参考訳(メタデータ) (2023-02-04T06:43:07Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。