論文の概要: Revisiting Vulnerability Patch Identification on Data in the Wild

• arxiv url: http://arxiv.org/abs/2603.17266v1
• Date: Wed, 18 Mar 2026 01:45:39 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-03-19 18:32:57.472339
• Title: Revisiting Vulnerability Patch Identification on Data in the Wild
• Title（参考訳）: 野生におけるデータの脆弱性パッチ識別の再検討
• Authors: Ivana Clairine Irsan, Ratnadira Widyasari, Ting Zhang, Huihui Huang, Ferdian Thung, Yikun Li, Lwin Khin Shar, Eng Lieh Ouh, Hong Jin Kang, David Lo,
• Abstract要約: NVD(National Vulnerability Database)の脆弱性レポートにリンクされたセキュリティパッチのトレーニングと評価が一般的であるセキュリティパッチ検出装置 本研究では,NVDデータに基づいてトレーニングしたモデルの性能が大幅に低下し,F1スコアが最大90%低下したことを示す。 NVDデータからのセキュリティパッチと手動で識別されたセキュリティパッチの小さなサブセットを組み合わせたデータセットの構築は、モデルの堅牢性を向上させることができる。
• 参考スコア（独自算出の注目度）: 12.263176392249745
• License: http://creativecommons.org/licenses/by-nc-sa/4.0/
• Abstract: Attacks can exploit zero-day or one-day vulnerabilities that are not publicly disclosed. To detect these vulnerabilities, security researchers monitor development activities in open-source repositories to identify unreported security patches. The sheer volume of commits makes this task infeasible to accomplish manually. Consequently, security patch detectors commonly trained and evaluated on security patches linked from vulnerability reports in the National Vulnerability Database (NVD). In this study, we assess the effectiveness of these detectors when applied in-the-wild. Our results show that models trained on NVD-derived data show substantially decreased performance, with decreases in F1-score of up to 90\% when tested on in-the-wild security patches, rendering them impractical for real-world use. An analysis comparing security patches identified in-the-wild and commits linked from NVD reveals that they can be easily distinguished from each other. Security patches associated with NVD have different distribution of commit messages, vulnerability types, and composition of changes. These differences suggest that NVD may be unsuitable as the \textit{sole} source of data for training models to detect security patches. We find that constructing a dataset that combines security patches from NVD data with a small subset of manually identified security patches can improve model robustness.
• Abstract（参考訳）: 攻撃は、公開されていないゼロデイまたは1日の脆弱性を利用することができる。 これらの脆弱性を検出するために、セキュリティ研究者はオープンソースのリポジトリで開発活動を監視し、報告されていないセキュリティパッチを特定する。 コミットの量が多ければ多いほど、このタスクを手作業で実行することは不可能になります。 その結果、NVD(National Vulnerability Database)の脆弱性レポートにリンクされたセキュリティパッチに対して、セキュリティパッチ検出が一般的に訓練され、評価される。 本研究では,これらの検出器の電界中適用時の有効性を評価する。 以上の結果から,NVDデータに基づいてトレーニングしたモデルの性能は大幅に低下し,F1スコアはWildのセキュリティパッチでテストした場合,最大90%まで低下し,実際の使用には実用的でないことが示唆された。 NVDからリンクされたセキュリティパッチとコミットを比較した分析は、それらが互いに容易に区別できることを明らかにしている。 NVDに関連するセキュリティパッチは、コミットメッセージの分散、脆弱性タイプ、変更の構成が異なる。 これらの違いは、NVDがセキュリティパッチを検出するためのトレーニングモデルのデータソースであるtextit{sole}として適していないことを示唆している。 NVDデータからのセキュリティパッチと手動で識別されたセキュリティパッチの小さなサブセットを組み合わせたデータセットの構築は、モデルの堅牢性を向上させることができる。

関連論文リスト

• Weakly Supervised Vulnerability Localization via Multiple Instance Learning [46.980136742826836]
  WeAkly によるマルチプルインスタンス学習による脆弱性ローカライゼーションのための WAVES という新しい手法を提案する。 WAVESは、ある関数が脆弱かどうか(すなわち脆弱性検出)を判定し、脆弱なステートメントをピンポイントする機能を持っている。 提案手法は,文レベルの脆弱性ローカライゼーションにおいて,脆弱性検出と最先端のパフォーマンスにおいて同等のパフォーマンスを実現する。
  論文  参考訳（メタデータ） (2025-09-14T15:11:39Z)
• Defending against Indirect Prompt Injection by Instruction Detection [109.30156975159561]
  InstructDetectorは、LLMの動作状態を利用して潜在的なIPI攻撃を特定する、新しい検出ベースのアプローチである。 InstructDetectorは、ドメイン内設定で99.60%、ドメイン外設定で96.90%の検出精度を達成し、攻撃成功率をBIPIAベンチマークで0.03%に下げる。
  論文  参考訳（メタデータ） (2025-05-08T13:04:45Z)
• Fast and Accurate Silent Vulnerability Fix Retrieval [7.512949497610182]
  CVEを修正するためのパッチコミットをトレース/検索する既存のアプローチは、2つの大きな課題に悩まされている。 SITPatchTracerは、既知の脆弱性パッチをトレースするスケーラブルで効果的な検索システムである。 SITPatchTracerを使って、GitHub Advisoryデータベース内の35の新しいCVEのパッチリンクをトレースしてマージしました。
  論文  参考訳（メタデータ） (2025-03-29T01:53:07Z)
• Detecting and Interpreting NSFW Prompts in Text-to-Image Models through Uncovering Harmful Semantics [48.93115678681624]
  悪意のあるユーザは、T2I(text-to-image)モデルを使用してNot-Safe-for-Work(NSFW)イメージを生成する。 我々は,NSFWプロンプトを検出するために,T2Iモデルの隠れ状態を利用するフレームワークであるHiddenGuardを提案する。 実験の結果,HiddenGuardは商用およびオープンソースのモデレーションツールよりも大幅に優れていた。
  論文  参考訳（メタデータ） (2024-12-24T03:17:45Z)
• VERCATION: Precise Vulnerable Open-source Software Version Identification based on Static Analysis and LLM [12.706661324384319]
  オープンソースソフトウェア(OSS)は、そのコラボレーティブな開発モデルとコスト効果の性質から、人気が高まっている。 開発プロジェクトにおける特定のソフトウェアバージョンの採用は、これらのバージョンが脆弱性をもたらす場合にセキュリティリスクをもたらす可能性がある。 本稿では,C/C++で記述されたOSSの脆弱性を識別するVERCATIONを提案する。
  論文  参考訳（メタデータ） (2024-08-14T06:43:06Z)
• Watch the Watcher! Backdoor Attacks on Security-Enhancing Diffusion Models [65.30406788716104]
  本研究では,セキュリティ強化拡散モデルの脆弱性について検討する。 これらのモデルは、シンプルで効果的なバックドア攻撃であるDIFF2に非常に感受性があることを実証する。 ケーススタディでは、DIFF2は、ベンチマークデータセットとモデル間で、パーフィケーション後の精度と認定精度の両方を著しく削減できることを示している。
  論文  参考訳（メタデータ） (2024-06-14T02:39:43Z)
• Just-in-Time Detection of Silent Security Patches [7.840762542485285]
  セキュリティパッチは黙秘される可能性がある。つまり、CVEのような包括的なアドバイザリを常に備えているわけではない。 この透明性の欠如により、ユーザーは利用可能なセキュリティアップデートを気にせず、攻撃者が未パッチの脆弱性を悪用する十分な機会を提供する。 本稿では,大規模言語モデル(LLM)を活用して,生成されたコード変更説明を用いてパッチ情報を拡張することを提案する。
  論文  参考訳（メタデータ） (2023-12-02T22:53:26Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。