論文の概要: Characterizing and Modeling the GitHub Security Advisories Review Pipeline

• arxiv url: http://arxiv.org/abs/2602.06009v1
• Date: Thu, 05 Feb 2026 18:50:40 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-02-06 18:49:09.136673
• Title: Characterizing and Modeling the GitHub Security Advisories Review Pipeline
• Title（参考訳）: GitHub Security Advisories Review Pipelineの特性とモデル化
• Authors: Claudio Segal, Paulo Segal, Carlos Eduardo de Schuller Banjar, Felipe Paixão, Hudson Silva Borges, Paulo Silveira Neto, Eduardo Santana de Almeida, Joanna C. S. Santos, Anton Kocheturov, Gaurav Kumar Srivastava, Daniel Sadoc Menasché,
• Abstract要約: GitHub Security Advisories(GHSA)は、オープンソースの脆弱性開示の中心的なコンポーネントになっている。 本稿は,2019～2025年の間に288,000以上の勧告を分析した。 我々は、どのアドバイザリがレビューされる可能性が高いかを特徴付け、レビュー遅延を定量化し、2つの異なるレビュー遅延体制を識別する。
• 参考スコア（独自算出の注目度）: 2.810523319802804
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: GitHub Security Advisories (GHSA) have become a central component of open-source vulnerability disclosure and are widely used by developers and security tools. A distinctive feature of GHSA is that only a fraction of advisories are reviewed by GitHub, while the mechanisms associated with this review process remain poorly understood. In this paper, we conduct a large-scale empirical study of GHSA review processes, analyzing over 288,000 advisories spanning 2019--2025. We characterize which advisories are more likely to be reviewed, quantify review delays, and identify two distinct review-latency regimes: a fast path dominated by GitHub Repository Advisories (GRAs) and a slow path dominated by NVD-first advisories. We further develop a queueing model that accounts for this dichotomy based on the structure of the advisory processing pipeline.
• Abstract（参考訳）: GitHub Security Advisories(GHSA)は、オープンソースの脆弱性開示の中心的なコンポーネントとなり、開発者やセキュリティツールによって広く使用されている。 GHSAの特筆すべき特徴は、GitHubによってレビューされるアドバイザリのごく一部に過ぎず、このレビュープロセスに関連するメカニズムが理解されていないことだ。 本稿では,2019～2025年の間に288,000件以上の勧告を解析し,GHSAレビュープロセスに関する大規模な実証的研究を行った。 GitHub Repository Advisories(GRAs)が支配する高速パスとNVDファーストアドバイザリーが支配する遅いパスだ。 さらに、アドバイザリ処理パイプラインの構造に基づいて、この二分法を考慮に入れた待ち行列モデルを開発する。

関連論文リスト

• A Large Scale Empirical Analysis on the Adherence Gap between Standards and Tools in SBOM [54.38424417079265]
  ソフトウェア・ビル・オブ・マテリアル(Software Bill of Materials, SBOM)は、ソフトウェア情報を整理する機械読み取り可能なアーティファクトである。 標準に従って、組織はSBOMの生成と利用のためのツールを開発した。 本稿では,我々の自動評価フレームワークであるSAPを用いて,接着ギャップの大規模2段階解析を行った。
  論文  参考訳（メタデータ） (2026-01-09T08:26:05Z)
• SeRe: A Security-Related Code Review Dataset Aligned with Real-World Review Activities [8.215547096412346]
  既存のデータセットと研究は主に汎用コードレビューコメントに焦点を当てている。 能動的学習に基づくアンサンブル分類手法を用いて構築したtextbfsecurity 関連コードレビューデータセット textbfSeRe を紹介する。 我々は373,824の生のレビューインスタンスから6,732のセキュリティ関連レビューを抽出し、複数のプログラミング言語の代表性を確保した。
  論文  参考訳（メタデータ） (2026-01-03T02:39:53Z)
• NL2Repo-Bench: Towards Long-Horizon Repository Generation Evaluation of Coding Agents [79.29376673236142]
  既存のベンチマークは、完全なソフトウェアシステムを構築するのに必要な長期的能力の厳格な評価に失敗する。 符号化エージェントの長期リポジトリ生成能力を評価するために設計されたベンチマークであるNL2Repo Benchを提案する。
  論文  参考訳（メタデータ） (2025-12-14T15:12:13Z)
• Automated Code Review Assignments: An Alternative Perspective of Code Ownership on GitHub [9.824540566919184]
  GitHubは、特定のファイルのレビュアーを自動的に指定するCODEOWNERS機能を導入した。 CODEOWNERSの使用に関する大規模な実証的研究は、844,000件以上のプルリクエストと190万のコメント、200万以上のレビューで実施された。 結果は、コード所有者がCODEOWNERSファイルに規定されたルールに準拠し、従来のオーナシップのメトリクスと同じような協調行動を示す傾向にあることを示しているが、時間が経つにつれてスムーズで高速なPRワークフローに寄与する傾向にあることを示している。
  論文  参考訳（メタデータ） (2025-12-05T09:14:22Z)
• Decompiling Smart Contracts with a Large Language Model [51.49197239479266]
  Etherscanの78,047,845のスマートコントラクトがデプロイされているにも関わらず(2025年5月26日現在)、わずか767,520 (1%)がオープンソースである。 この不透明さは、オンチェーンスマートコントラクトバイトコードの自動意味解析を必要とする。 バイトコードを可読でセマンティックに忠実なSolidityコードに変換する,先駆的な逆コンパイルパイプラインを導入する。
  論文  参考訳（メタデータ） (2025-06-24T13:42:59Z)
• Exploiting Inaccurate Branch History in Side-Channel Attacks [54.218160467764086]
  本稿では,リソース共有と競合が広く実装されているが文書化されていない2つの特徴,バイアスフリー分岐予測と分岐履歴推定にどのように影響するかを検討する。 これらの機能は、ブランチ履歴バッファ(BHB)の更新動作を不注意に修正し、悪意のある誤定義を引き起こす新しいプリミティブを作成することができる。 2つのSpectre攻撃、すなわちSpectre-BSEとSpectre-BHSと、BiasScopeと呼ばれるクロスプライマリ制御フローサイドチャネル攻撃である。
  論文  参考訳（メタデータ） (2025-06-08T19:46:43Z)
• Thinking Longer, Not Larger: Enhancing Software Engineering Agents via Scaling Test-Time Compute [61.00662702026523]
  より大規模なモデルではなく、推論時間の増加を活用する統合されたテスト時間計算スケーリングフレームワークを提案する。 当社のフレームワークには,内部TTCと外部TTCの2つの補完戦略が組み込まれている。 当社の textbf32B モデルは,DeepSeek R1 671B や OpenAI o1 など,はるかに大きなモデルを上回る 46% の課題解決率を実現している。
  論文  参考訳（メタデータ） (2025-03-31T07:31:32Z)
• Alibaba LingmaAgent: Improving Automated Issue Resolution via Comprehensive Repository Exploration [64.19431011897515]
  本稿では,問題解決のためにソフトウェアリポジトリ全体を包括的に理解し,活用するために設計された,新しいソフトウェアエンジニアリング手法であるAlibaba LingmaAgentを提案する。 提案手法では,重要なリポジトリ情報を知識グラフに凝縮し,複雑さを低減し,モンテカルロ木探索に基づく戦略を採用する。 Alibaba Cloudの製品展開と評価において、LingmaAgentは、開発エンジニアが直面した社内問題の16.9%を自動で解決し、手作業による介入で43.3%の問題を解決した。
  論文  参考訳（メタデータ） (2024-06-03T15:20:06Z)
• Empirical Analysis of Vulnerabilities Life Cycle in Golang Ecosystem [0.773844059806915]
  Golangの脆弱性のライフサイクルを総合的に調査した。 その結果、Golangエコシステムの66.10%のモジュールが脆弱性の影響を受けていることがわかった。 タグ付けされていない脆弱性やラベル付けされていない脆弱性の背後にある理由を分析することで、タイムリーリリースとインデクシングのパッチバージョンは、エコシステムのセキュリティを著しく向上させる可能性がある。
  論文  参考訳（メタデータ） (2023-12-31T14:53:51Z)
• Detecting Security Fixes in Open-Source Repositories using Static Code Analyzers [8.716427214870459]
  機械学習(ML)アプリケーションにおけるコミットを表現する機能として,既製の静的コードアナライザの出力がどの程度使用されるかを検討する。 埋め込みの構築やMLモデルをトレーニングして、脆弱性修正を含むソースコードコミットを自動的に識別する方法について検討する。 当社のメソッドとcommit2vecの組み合わせは,脆弱性を修正するコミットの自動識別において,最先端技術よりも明確な改善であることがわかった。
  論文  参考訳（メタデータ） (2021-05-07T15:57:17Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。