論文の概要: Cascaded Vulnerability Attacks in Software Supply Chains

• arxiv url: http://arxiv.org/abs/2601.20158v1
• Date: Wed, 28 Jan 2026 01:31:09 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-01-29 15:46:06.715658
• Title: Cascaded Vulnerability Attacks in Software Supply Chains
• Title（参考訳）: ソフトウェアサプライチェーンにおけるカスケード脆弱性攻撃
• Authors: Laura Baird, Armin Moin,
• Abstract要約: 本稿では,SBOMによるセキュリティ分析手法とツールに対する新しいアプローチを提案する。 我々は,スキャナ出力を独立したレコードとして扱うのではなく,依存関係構造上の脆弱性関係をモデル化する。 次に、不均一グラフ注意ネットワーク(HGAT)をトレーニングして、あるコンポーネントが少なくとも1つの既知の脆弱性と関連付けられているかどうかを予測する。
• 参考スコア（独自算出の注目度）: 1.628589561701473
• License: http://creativecommons.org/licenses/by-nc-sa/4.0/
• Abstract: Most of the current software security analysis tools assess vulnerabilities in isolation. However, sophisticated software supply chain security threats often stem from cascaded vulnerability and security weakness chains that span dependent components. Moreover, although the adoption of Software Bills of Materials (SBOMs) has been accelerating, downstream vulnerability findings vary substantially across SBOM generators and analysis tools. We propose a novel approach to SBOM-driven security analysis methods and tools. We model vulnerability relationships over dependency structure rather than treating scanner outputs as independent records. We represent enriched SBOMs as heterogeneous graphs with nodes being the SBOM components and dependencies, the known software vulnerabilities, and the known software security weaknesses. We then train a Heterogeneous Graph Attention Network (HGAT) to predict whether a component is associated with at least one known vulnerability. Since documented multi-vulnerability chains are scarce, we model cascade discovery as a link prediction problem over CVE pairs using a multi-layer perceptron neural network. This way, we produce ranked candidate links that can be composed into multi-step paths. The HGAT component classifier achieves an Accuracy of 91.03% and an F1-score of 74.02%.
• Abstract（参考訳）: 現在のソフトウェアセキュリティ分析ツールのほとんどは、脆弱性を分離して評価している。 しかし、高度なソフトウェアサプライチェーンのセキュリティ脅威は、しばしば、依存するコンポーネントにまたがる脆弱性とセキュリティの弱点チェーンから生じる。 さらに、SBOM(Software Bills of Materials)の採用は加速しているが、下流の脆弱性はSBOMジェネレータや分析ツールによって大きく異なる。 本稿では,SBOMによるセキュリティ分析手法とツールに対する新しいアプローチを提案する。 我々は,スキャナ出力を独立したレコードとして扱うのではなく,依存関係構造上の脆弱性関係をモデル化する。 我々は、強化されたSBOMを、ノードがSBOMコンポーネントと依存関係、既知のソフトウェア脆弱性、既知のソフトウェアセキュリティの弱点である異種グラフとして表現する。 次に、不均一グラフ注意ネットワーク(HGAT)をトレーニングして、あるコンポーネントが少なくとも1つの既知の脆弱性と関連付けられているかどうかを予測する。 多層パーセプトロンニューラルネットワークを用いたCVEペア間のリンク予測問題としてカスケード発見をモデル化する。 このようにして、多段階の経路に構成できるランク付け候補リンクを生成する。 HGATコンポーネント分類器は91.03%の精度とF1スコア74.02%の精度を達成する。

関連論文リスト

• Multi-Agent Taint Specification Extraction for Vulnerability Detection [49.27772068704498]
  コンテナ分析を使用した静的アプリケーションセキュリティテスト(SAST)ツールは、高品質な脆弱性検出結果を提供するものとして広く見なされている。 本稿では,Large Language Models (LLM) のセマンティック理解と従来の静的プログラム解析を戦略的に組み合わせたマルチエージェントシステムであるSemTaintを提案する。 私たちは、SemTaintを最先端のSASTツールであるCodeQLと統合し、これまでCodeQLで検出できなかった162の脆弱性の106を検出して、その効果を実証しています。
  論文  参考訳（メタデータ） (2026-01-15T21:31:51Z)
• ParaVul: A Parallel Large Language Model and Retrieval-Augmented Framework for Smart Contract Vulnerability Detection [43.41293570032631]
  ParaVulは、スマートコントラクト脆弱性検出の信頼性と精度を向上させるための、検索強化フレームワークである。 LLM微調整のためのスパースローランド適応(SLoRA)を開発した。 脆弱性契約データセットを構築し,RAG(Retrieval-Augmented Generation)システムを開発した。
  論文  参考訳（メタデータ） (2025-10-20T03:23:41Z)
• SBOMproof: Beyond Alleged SBOM Compliance for Supply Chain Security of Container Images [3.101218489580587]
  政府は最近、ベンダーがエンドユーザや規制当局と資料のソフトウェア法案を共有することを要求するサイバーセキュリティ規制を導入した。 SBOMは、ソースコードにアクセスしなくても、ソフトウェアコンポーネントのセキュリティ脆弱性を特定するために使用できる。 本研究は、SBOM生成および脆弱性スキャンのためのツールの包括的な研究を通じてこの問題を評価する。
  論文  参考訳（メタデータ） (2025-10-07T11:17:51Z)
• Advancing Vulnerability Classification with BERT: A Multi-Objective Learning Model [0.0]
  本稿では,BERT(Bi Representations from Transformers)モデルを用いて複数ラベル分類を行う新しい脆弱性レポートを提案する。 システムはREST APIとStreamlit UIを介してデプロイされ、リアルタイムの脆弱性分析を可能にする。
  論文  参考訳（メタデータ） (2025-03-26T06:04:45Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• Profile of Vulnerability Remediations in Dependencies Using Graph Analysis [40.35284812745255]
  本研究では,グラフ解析手法と改良型グラフ注意畳み込みニューラルネットワーク(GAT)モデルを提案する。 制御フローグラフを分析して、脆弱性の修正を目的とした依存性のアップグレードから発生するアプリケーションの変更をプロファイルします。 結果は、コード脆弱性のリレーショナルダイナミクスに関する微妙な洞察を提供する上で、強化されたGATモデルの有効性を示す。
  論文  参考訳（メタデータ） (2024-03-08T02:01:47Z)
• Patch2QL: Discover Cognate Defects in Open Source Software Supply Chain With Auto-generated Static Analysis Rules [1.9591497166224197]
  本稿では,SASTルールの自動生成によるOSSのコグネート欠陥の検出手法を提案する。 具体的には、プリパッチバージョンとポストパッチバージョンから重要な構文と意味情報を抽出する。 我々はPatch2QLというプロトタイプツールを実装し、それをC/C++の基本OSSに適用した。
  論文  参考訳（メタデータ） (2024-01-23T02:23:11Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)
• An Unbiased Transformer Source Code Learning with Semantic Vulnerability Graph [3.3598755777055374]
  現在の脆弱性スクリーニング技術は、新しい脆弱性を特定したり、開発者がコード脆弱性と分類を提供するのに効果がない。 これらの問題に対処するために,変換器 "RoBERTa" とグラフ畳み込みニューラルネットワーク (GCN) を組み合わせたマルチタスク・アンバイアス脆弱性分類器を提案する。 本稿では、逐次フロー、制御フロー、データフローからエッジを統合することで生成されたソースコードからのセマンティック脆弱性グラフ(SVG)表現と、Poacher Flow(PF)と呼ばれる新しいフローを利用したトレーニングプロセスを提案する。
  論文  参考訳（メタデータ） (2023-04-17T20:54:14Z)
• Software Vulnerability Detection via Deep Learning over Disaggregated Code Graph Representation [57.92972327649165]
  この研究は、コードコーパスから安全でないパターンを自動的に学習するためのディープラーニングアプローチを探求する。 コードには解析を伴うグラフ構造が自然に認められるため,プログラムの意味的文脈と構造的規則性の両方を利用する新しいグラフニューラルネットワーク(GNN)を開発する。
  論文  参考訳（メタデータ） (2021-09-07T21:24:36Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。