Fugu-MT 論文翻訳(概要): Detecting Protracted Vulnerabilities in Open Source Projects

論文の概要: Detecting Protracted Vulnerabilities in Open Source Projects

arxiv url: http://arxiv.org/abs/2603.27067v1
Date: Sat, 28 Mar 2026 01:01:56 GMT
ステータス: 翻訳完了
システム内更新日: 2026-03-31 23:18:44.766553
Title: Detecting Protracted Vulnerabilities in Open Source Projects
Title（参考訳）: オープンソースプロジェクトにおける制約付き脆弱性の検出
Authors: Arjun Sridharkumar, Sara Al Hajj Ibrahim, Jiayuan Zhou, Yuliang Wang, Safwat Hassan, Ahmed E. Hassan, Shurui Zhou,
Abstract要約: 脆弱性のタイムリーな解決と開示は、オープンソースソフトウェアのセキュリティを維持する上で不可欠である。本研究では,長期にわたって未解決または未開示のプロトラクション脆弱性(PVE)を分析することにより,脆弱性のライフサイクルを解明する。本稿では,難治症例に特化して設計された拡張検出手法であるDeeptraVulを提案する。
参考スコア（独自算出の注目度）: 6.709359530216947
License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
Abstract: Timely resolution and disclosure of vulnerabilities are essential for maintaining the security of open-source software. However, many vulnerabilities remain unreported, unpatched, or undisclosed for extended periods, exposing users to prolonged security threats. While various vulnerability detection tools exist, they primarily focus on predicting or identifying known vulnerabilities, often failing to capture vulnerabilities that experience significant delays in resolution. In this study, we examine the vulnerability lifecycle by analyzing protracted vulnerabilities (PCVEs), which remain unresolved or undisclosed over long periods. We construct a dataset of PCVEs and conduct a qualitative analysis to uncover underlying causes of delay. To assess current automated solutions, we evaluate four state-of-the-art (SOTA) vulnerability detectors on our dataset. These tools detect only 1,059 out of 2,402 PCVEs, achieving approximately 44% coverage. To address this limitation, we propose DeeptraVul, an enhanced detection approach designed specifically for protracted cases. DeeptraVul integrates multiple development artifacts and code signals, supported by a Large Language Model (LLM)-based summarization component. For comparison, we also evaluate a standalone LLM. Our results show that DeeptraVul improves detection performance, achieving a 14% increase in coverage across all PCVEs and reaching 90% coverage on the DeeptraVul PCVE subset, outperforming existing SOTA detectors and standalone LLM based inference.
Abstract（参考訳）: 脆弱性のタイムリーな解決と開示は、オープンソースソフトウェアのセキュリティを維持する上で不可欠である。しかし、多くの脆弱性は、長期にわたって報告されていないか、パッチされていないか、公表されていないままであり、ユーザは長期にわたるセキュリティ上の脅威にさらされる。さまざまな脆弱性検出ツールが存在するが、主に既知の脆弱性の予測や特定に重点を置いている。本研究では,長期にわたって未解決または未開示のPCVE(Protracted vulnerabilities)を分析し,脆弱性のライフサイクルについて検討する。我々は,PCVEのデータセットを構築し,遅延の原因を明らかにするための定性解析を行う。現在の自動化ソリューションを評価するため、データセット上で4つのSOTA脆弱性検出器を評価した。これらのツールは2,402台のPCVEのうち1,059台しか検出せず、約44%のカバレッジを達成した。この制限に対処するため,我々はDeeptraVulを提案する。 DeeptraVulは、LLM(Large Language Model)ベースの要約コンポーネントでサポートされている複数の開発成果物とコード信号を統合する。比較のために,スタンドアロンのLCMも評価した。以上の結果から,DeeptraVulは検出性能を向上し,全PCVEの14%のカバレッジ向上,DeeptraVul PCVEサブセットの90%のカバレッジ向上を実現し,既存のSOTA検出器やスタンドアロンLLMベースの推論よりも優れていた。

関連論文リスト

VulnRepairEval: An Exploit-Based Evaluation Framework for Assessing Large Language Model Vulnerability Repair Capabilities [41.85494398578654]
VulnRepairEvalは、関数型Proof-of-Conceptエクスプロイトに固定された評価フレームワークである。我々のフレームワークは、再現可能な微分評価を可能にする包括的でコンテナ化された評価パイプラインを提供する。
論文参考訳（メタデータ） (2025-09-03T14:06:10Z)
CyberGym: Evaluating AI Agents' Real-World Cybersecurity Capabilities at Scale [45.97598662617568]
我々は188のソフトウェアプロジェクトにわたる1,507の実際の脆弱性を特徴とする大規模ベンチマークであるCyberGymを紹介した。我々はCyberGymが35のゼロデイ脆弱性と17の歴史的不完全なパッチを発見できることを示した。これらの結果は、CyberGymは、サイバーセキュリティにおけるAIの進歩を測定するための堅牢なベンチマークであるだけでなく、直接的な現実世界のセキュリティ効果を生み出すためのプラットフォームでもあることを強調している。
論文参考訳（メタデータ） (2025-06-03T07:35:14Z)
The Ripple Effect of Vulnerabilities in Maven Central: Prevalence, Propagation, and Mitigation Challenges [8.955037553566774]
私たちはCommon Vulnerabilities and Exposuresデータを用いてMaven Centralエコシステム内の脆弱性の頻度と影響を分析します。約400万リリースのサブサンプルでは、リリースの約1%に直接的な脆弱性があることが分かりました。また、脆弱性のパッチに要する時間、特に重大または重大の脆弱性は、数年かかることが多いこともわかりました。
論文参考訳（メタデータ） (2025-04-05T13:45:27Z)
The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文参考訳（メタデータ） (2024-09-10T10:12:37Z)
Exploring Automatic Cryptographic API Misuse Detection in the Era of LLMs [60.32717556756674]
本稿では,暗号誤用の検出において,大規模言語モデルを評価するための体系的評価フレームワークを提案する。 11,940個のLCM生成レポートを詳細に分析したところ、LSMに固有の不安定性は、報告の半数以上が偽陽性になる可能性があることがわかった。最適化されたアプローチは、従来の手法を超え、確立されたベンチマークでこれまで知られていなかった誤用を明らかにすることで、90%近い顕著な検出率を達成する。
論文参考訳（メタデータ） (2024-07-23T15:31:26Z)
VulEval: Towards Repository-Level Evaluation of Software Vulnerability Detection [14.312197590230994]
textbfVulEvalという名前のリポジトリレベルの評価システムは、プロセス間およびプロセス内脆弱性の検出性能を同時に評価することを目的としている。 VulEvalは大規模データセットで構成され、合計で4,196のCVEエントリ、232,239の関数、および対応する4,699のリポジトリレベルのソースコードがC/C++プログラミング言語に含まれる。
論文参考訳（メタデータ） (2024-04-24T02:16:11Z)
SliceLocator: Locating Vulnerable Statements with Graph-based Detectors [33.395068754566935]
SliceLocatorは、すべての潜在的な脆弱性トリガリングステートメントから、最も重み付けされたフローパスを選択することで、最も関連性の高いテントフローを特定する。 SliceLocatorは、最先端の4つのGNNベースの脆弱性検知器で一貫して動作することを示す。
論文参考訳（メタデータ） (2024-01-05T10:15:04Z)
How Far Have We Gone in Vulnerability Detection Using Large Language Models [15.09461331135668]
包括的な脆弱性ベンチマークであるVulBenchを紹介します。このベンチマークは、幅広いCTF課題と実世界のアプリケーションから高品質なデータを集約する。いくつかのLSMは、脆弱性検出における従来のディープラーニングアプローチよりも優れていることがわかった。
論文参考訳（メタデータ） (2023-11-21T08:20:39Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。