論文の概要: Uncovering Hidden Inclusions of Vulnerable Dependencies in Real-World Java Projects

• arxiv url: http://arxiv.org/abs/2601.23020v1
• Date: Fri, 30 Jan 2026 14:30:04 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-02-02 18:28:15.498673
• Title: Uncovering Hidden Inclusions of Vulnerable Dependencies in Real-World Java Projects
• Title（参考訳）: 現実世界のJavaプロジェクトにおける脆弱性のある依存関係の隠された包摂性を明らかにする
• Authors: Stefan Schott, Serena Elisa Ponta, Wolfram Fischer, Jonas Klauke, Eric Bodden,
• Abstract要約: Javaにおける依存性スキャンへのハイブリッドアプローチであるUnshadeを紹介します。 メタデータベースのスキャニングの効率性と、コード中心のアプローチの依存関係の変更を検出する機能を組み合わせる。 私たちはGitHubで、最も人気のある1,808のJava Mavenプロジェクトについて大規模な調査を行いました。
• 参考スコア（独自算出の注目度）: 2.337931591219808
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Open-source software (OSS) dependencies are a dominant component of modern software code bases. Using proven and well-tested OSS components lets developers reduce development time and cost while improving quality. However, heavy reliance on open-source software also introduces significant security risks, including the incorporation of known vulnerabilities into the codebase. To mitigate these risks, metadata-based dependency scanners, which are lightweight and fast, and code-centric scanners, which enable the detection of modified dependencies hidden from metadata-based approaches, have been developed. In this paper, we present Unshade, a hybrid approach towards dependency scanning in Java that combines the efficiency of metadata-based scanning with the ability to detect modified dependencies of code-centric approaches. Unshade first augments a Java project's software bill of materials (SBOM) by identifying modified and hidden dependencies via a bytecode-based fingerprinting mechanism. This augmented SBOM is then passed to a metadata-based vulnerability scanner to identify known vulnerabilities in both declared and newly revealed dependencies. Leveraging Unshade's high scalability, we conducted a large-scale study of the 1,808 most popular open-source Java Maven projects on GitHub. The results show that nearly 50% of these projects contain at least one modified, hidden dependency associated with a known vulnerability. On average, each affected project includes more than eight such hidden vulnerable dependencies, all missed by traditional metadata-based scanners. Overall, Unshade identified 7,712 unique CVEs in hidden dependencies that would remain undetected when relying on metadata-based scanning alone.
• Abstract（参考訳）: オープンソースソフトウェア(OSS)依存関係は、現代のソフトウェアコードベースの主要なコンポーネントである。 実証済みで十分にテストされたOSSコンポーネントを使用することで、開発者は品質を改善しながら開発時間とコストを削減できる。 しかし、オープンソースのソフトウェアに大きく依存しているため、コードベースに既知の脆弱性が組み込まれるなど、重大なセキュリティリスクも生じている。 これらのリスクを軽減するため、軽量で高速なメタデータベースの依存性スキャナと、メタデータベースのアプローチから隠された修正された依存関係の検出を可能にするコード中心のスキャナが開発された。 本稿では、メタデータベースのスキャニングの効率性と、コード中心のアプローチの依存関係の修正を検出する機能を組み合わせた、Javaにおける依存性スキャンへのハイブリッドアプローチUnshadeを提案する。 Unshadeはまず,バイトコードベースのフィンガープリント機構を通じて修正および隠された依存関係を識別することによって,Javaプロジェクトのソフトウェア資料請求書(SBOM)を拡大する。 この拡張されたSBOMはメタデータベースの脆弱性スキャナに渡され、宣言された依存関係と新たに公開された依存関係の両方で既知の脆弱性を特定する。 Unshadeの高スケーラビリティを活用して、GitHub上で最も人気のある1,808のJava Mavenプロジェクトについて大規模な調査を行った。 その結果、これらのプロジェクトの50%近くは、既知の脆弱性に関連する、少なくとも1つの修正された、隠れた依存関係を含んでいることがわかった。 影響を受けるプロジェクトには、平均して8つ以上の隠れた脆弱性のある依存関係が含まれており、いずれも従来のメタデータベースのスキャナーによって見逃されている。 全体としてUnshade氏は,メタデータベースのスキャニングのみに依存する場合に検出されない,7,712のユニークなCVEを特定した。

関連論文リスト

• Bytecode-centric Detection of Known-to-be-vulnerable Dependencies in Java Projects [2.337931591219808]
  Java用のバイトコード中心の依存性スキャナであるJaralyzerを紹介します。 JaralyzerはOSS依存関係のメタデータやソースコードに依存しないが、依存関係のバイトコードを直接分析する。 このスキャナーは上記のすべての種類の修正で脆弱性を識別できる唯一のスキャナである。
  論文  参考訳（メタデータ） (2025-10-22T09:08:46Z)
• What Do They Fix? LLM-Aided Categorization of Security Patches for Critical Memory Bugs [46.325755802511026]
  我々は、LLM(Large Language Model)と細調整された小言語モデルに基づく2つのアプローチを統合するデュアルメタルパイプラインであるLMを開発した。 LMは、OOBまたはUAFの脆弱性に対処する最近のLinuxカーネルのパッチ5,140のうち111つを、手作業による検証によって90の正の正が確認された。
  論文  参考訳（メタデータ） (2025-09-26T18:06:36Z)
• CyberGym: Evaluating AI Agents' Real-World Cybersecurity Capabilities at Scale [45.97598662617568]
  我々は188のソフトウェアプロジェクトにわたる1,507の実際の脆弱性を特徴とする大規模ベンチマークであるCyberGymを紹介した。 我々はCyberGymが35のゼロデイ脆弱性と17の歴史的不完全なパッチを発見できることを示した。 これらの結果は、CyberGymは、サイバーセキュリティにおけるAIの進歩を測定するための堅牢なベンチマークであるだけでなく、直接的な現実世界のセキュリティ効果を生み出すためのプラットフォームでもあることを強調している。
  論文  参考訳（メタデータ） (2025-06-03T07:35:14Z)
• The Ripple Effect of Vulnerabilities in Maven Central: Prevalence, Propagation, and Mitigation Challenges [8.955037553566774]
  私たちはCommon Vulnerabilities and Exposuresデータを用いてMaven Centralエコシステム内の脆弱性の頻度と影響を分析します。 約400万リリースのサブサンプルでは、リリースの約1%に直接的な脆弱性があることが分かりました。 また、脆弱性のパッチに要する時間、特に重大または重大の脆弱性は、数年かかることが多いこともわかりました。
  論文  参考訳（メタデータ） (2025-04-05T13:45:27Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• On Security Weaknesses and Vulnerabilities in Deep Learning Systems [32.14068820256729]
  具体的には、ディープラーニング(DL)フレームワークについて検討し、DLシステムにおける脆弱性に関する最初の体系的な研究を行う。 各種データベースの脆弱性パターンを探索する2ストリームデータ分析フレームワークを提案する。 我々は,脆弱性のパターンと修正の課題をよりよく理解するために,3,049個のDL脆弱性を大規模に検討した。
  論文  参考訳（メタデータ） (2024-06-12T23:04:13Z)
• Empirical Analysis of Vulnerabilities Life Cycle in Golang Ecosystem [0.773844059806915]
  Golangの脆弱性のライフサイクルを総合的に調査した。 その結果、Golangエコシステムの66.10%のモジュールが脆弱性の影響を受けていることがわかった。 タグ付けされていない脆弱性やラベル付けされていない脆弱性の背後にある理由を分析することで、タイムリーリリースとインデクシングのパッチバージョンは、エコシステムのセキュリティを著しく向上させる可能性がある。
  論文  参考訳（メタデータ） (2023-12-31T14:53:51Z)
• REEF: A Framework for Collecting Real-World Vulnerabilities and Fixes [40.401211102969356]
  本稿では,REal-world vulnErabilities and Fixesをオープンソースリポジトリから収集するための自動収集フレームワークREEFを提案する。 脆弱性とその修正を収集する多言語クローラを開発し、高品質な脆弱性修正ペアをフィルタするためのメトリクスを設計する。 大規模な実験を通じて,我々の手法が高品質な脆弱性修正ペアを収集し,強力な説明を得られることを示す。
  論文  参考訳（メタデータ） (2023-09-15T02:50:08Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。