論文の概要: A Large-scale Empirical Study on the Generalizability of Disclosed Java Library Vulnerability Exploits

• arxiv url: http://arxiv.org/abs/2603.25997v1
• Date: Fri, 27 Mar 2026 01:24:34 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-03-30 21:49:48.320879
• Title: A Large-scale Empirical Study on the Generalizability of Disclosed Java Library Vulnerability Exploits
• Title（参考訳）: 公開Javaライブラリ脆弱性エクスプロイトの一般化可能性に関する大規模実証的研究
• Authors: Zirui Chen, Qi Zhan, Jiayuan Zhou, Xing Hu, Xin Xia, Xiaohu Yang,
• Abstract要約: 図書館版にまたがる適用性に関する大規模な実証的研究を行った。 ライブラリのバージョン履歴に対して各エクスプロイトを実行し、実行結果と手動で注釈付けした接地トルース影響を受けるバージョンを比較します。 我々の結果は、マイグレーションなしでも、エクスプロイトは83.0%のリコールと99.3%の精度でJavaの影響を受けるバージョンを識別できることを示している。
• 参考スコア（独自算出の注目度）: 12.64136210712345
• License: http://creativecommons.org/licenses/by-nc-nd/4.0/
• Abstract: Open-source software supply chain security relies heavily on assessing affected versions of library vulnerabilities. While prior studies have leveraged exploits for verifying vulnerability affected versions, they point out a key limitation that exploits are version-specific and cannot be directly applied across library versions. Despite being widely acknowledged, this limitation has not been systematically validated at scale, leaving the actual applicability of exploits across versions unexplored. To fill this gap, we conduct the first large-scale empirical study on exploit applicability across library versions. We construct a comprehensive dataset consisting of 259 exploits spanning 128 Java libraries and 28,150 historical versions, covering 61 CWEs that account for 76.33% of vulnerabilities in Maven. Leveraging this dataset, we execute each exploit against the library version history and compare the execution outcomes with our manually annotated ground-truth affected versions. We further investigate the root causes of inconsistencies between exploit execution and ground truth, and explore strategies for exploit migration. Our results (RQ1) show that, even without migration, exploits achieve 83.0% recall and 99.3% precision in identifying affected versions in Java, outperforming most widely used vulnerability databases and assessment tools. Notably, this capability enables us to contribute 796 confirmed missing affected versions to the CPE dictionary. We investigate the remaining exploit failures (RQ2) and find that they mainly stem from compatibility issues introduced by library evolution and changing environmental constraints. Based on these observations, we manually migrate exploits for 1,885 versions and distill a taxonomy of 10 strategies from these successful adaptation cases (RQ3), thereby increasing the overall recall to 96.1%.
• Abstract（参考訳）: オープンソースのソフトウェアサプライチェーンセキュリティは、影響を受けるライブラリの脆弱性の評価に大きく依存している。 以前の研究では、脆弱性のあるバージョンを検証するためにエクスプロイトを利用しているが、エクスプロイトはバージョン固有のものであり、ライブラリのバージョン間で直接適用できない重要な制限を指摘している。 広く認識されているにもかかわらず、この制限は大規模に体系的に検証されていない。 このギャップを埋めるために,図書館版における適用性に関する大規模な実証的研究を行った。 128のJavaライブラリと28,150の履歴バージョンにまたがる259のエクスプロイトと、Mavenの脆弱性の76.33%を占める61のCWEからなる包括的なデータセットを構築した。 このデータセットを利用することで、ライブラリのバージョン履歴に対して各エクスプロイトを実行し、実行結果と手動で注釈付けされた接地トルース影響を受けるバージョンを比較します。 さらに,実施と真理の矛盾の根本原因について検討し,移住を活用するための戦略を探る。 我々の結果(RQ1)によると、マイグレーションなしでも、エクスプロイトは83.0%のリコールと99.3%の精度でJavaの影響を受けるバージョンを特定し、最も広く使われている脆弱性データベースやアセスメントツールを上回っている。 特に、この能力により、CPE辞書に796の未確認バージョンをコントリビュートできる。 残りのエクスプロイト障害(RQ2)を調査し,ライブラリの進化と環境制約の変化による互換性の問題が主な原因であることを確認した。 これらの結果から,我々は手動で1,885種類のエクスプロイトを移行し,これらの成功事例(RQ3)から10の戦略の分類を抽出し,全体のリコール率を96.1%に向上させた。

関連論文リスト

• Analyzing the Availability of E-Mail Addresses for PyPI Libraries [89.21869606965578]
  81.6%のライブラリには、少なくとも1つの有効な電子メールアドレスが含まれており、PyPIが主要なソースとなっている。 698,000以上の無効なエントリを識別します。
  論文  参考訳（メタデータ） (2026-01-20T14:54:58Z)
• A Comprehensive Study on the Impact of Vulnerable Dependencies on Open-Source Software [0.2772895608190934]
  我々は、Java、Python、Rust、Go、Ruby、JavaScriptといった複数の言語からなる約50万のリリースで、1万以上のオープンソースプロジェクトについて調査を行った。 私たちの目標は、これらの脆弱性の深刻さ、永続性、分散性、およびチームやコントリビュータのサイズ、アクティビティ、リリースサイクルといったプロジェクトメトリクスとの相関性を調べることです。 このアプローチを使うことで、ライブラリのバージョンや依存性の深さ、既知の脆弱性、そしてソフトウェア開発サイクルを通じてどのように進化したかといった情報を提供できるのです。
  論文  参考訳（メタデータ） (2025-12-03T15:20:10Z)
• Diffploit: Facilitating Cross-Version Exploit Migration for Open Source Library Vulnerabilities [13.559398564795048]
  Diffploitは2つのキーモジュールを中心に構成された反復的で差分駆動のエクスプロイトマイグレーション手法である。 79のライブラリにわたる102のJava CVEと689のバージョンマイグレーションタスクを含む大規模データセット上でDiffploitを評価する。 84.2%のエクスプロイトの移行に成功し、変更対応のテスト修正ツールであるTARGETを52.0%、IDEAのルールベースのツールを61.6%上回った。
  論文  参考訳（メタデータ） (2025-11-17T04:06:01Z)
• Trace: Securing Smart Contract Repository Against Access Control Vulnerability [58.02691083789239]
  GitHubはソースコード、ドキュメント、設定ファイルを含む多数のスマートコントラクトリポジトリをホストしている。 サードパーティの開発者は、カスタム開発中にこれらのリポジトリからコードを参照、再利用、フォークすることが多い。 スマートコントラクトの脆弱性を検出する既存のツールは、複雑なリポジトリを扱う能力に制限されている。
  論文  参考訳（メタデータ） (2025-10-22T05:18:28Z)
• PoCGen: Generating Proof-of-Concept Exploits for Vulnerabilities in Npm Packages [13.877936187495555]
  我々は,npmパッケージの脆弱性に対するPoCエクスプロイトを自律的に生成し,検証する新しいアプローチであるPoCGenを提案する。 PoCGenはSecBench$.jsデータセットの脆弱性の77%のエクスプロイトを生成することに成功した。
  論文  参考訳（メタデータ） (2025-06-05T12:37:33Z)
• Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
  Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。 35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。 ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
  論文  参考訳（メタデータ） (2024-11-12T01:55:51Z)
• Vulnerability-Triggering Test Case Generation from Third-Party Libraries [8.065610614825395]
  VULEUTは、クライアントソフトウェアプロジェクトで一般的に使用されているサードパーティ製ライブラリの脆弱性の悪用を自動検証するように設計されている。 VULEUTはまず、脆弱性条件の到達可能性を決定するためにクライアントプロジェクトを分析する。 次に、Large Language Model (LLM)を活用して、脆弱性確認のためのユニットテストを生成する。
  論文  参考訳（メタデータ） (2024-09-25T07:47:01Z)
• VERCATION: Precise Vulnerable Open-source Software Version Identification based on Static Analysis and LLM [12.706661324384319]
  オープンソースソフトウェア(OSS)は、そのコラボレーティブな開発モデルとコスト効果の性質から、人気が高まっている。 開発プロジェクトにおける特定のソフトウェアバージョンの採用は、これらのバージョンが脆弱性をもたらす場合にセキュリティリスクをもたらす可能性がある。 本稿では,C/C++で記述されたOSSの脆弱性を識別するVERCATIONを提案する。
  論文  参考訳（メタデータ） (2024-08-14T06:43:06Z)
• JailbreakBench: An Open Robustness Benchmark for Jailbreaking Large Language Models [123.66104233291065]
  ジェイルブレイク攻撃は、大きな言語モデル(LLM)が有害、非倫理的、またはその他の不快なコンテンツを生成する原因となる。 これらの攻撃を評価することは、現在のベンチマークと評価テクニックの収集が適切に対処していない、多くの課題を提示します。 JailbreakBenchは、以下のコンポーネントを備えたオープンソースのベンチマークである。
  論文  参考訳（メタデータ） (2024-03-28T02:44:02Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。