論文の概要: Towards Predicting Multi-Vulnerability Attack Chains in Software Supply Chains from Software Bill of Materials Graphs

• arxiv url: http://arxiv.org/abs/2604.04977v1
• Date: Sat, 04 Apr 2026 17:29:39 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-04-08 17:42:09.374947
• Title: Towards Predicting Multi-Vulnerability Attack Chains in Software Supply Chains from Software Bill of Materials Graphs
• Title（参考訳）: マテリアルグラフのソフトウェア請求書からソフトウェアサプライチェーンにおけるマルチ脆弱性アタックチェーンの予測に向けて
• Authors: Laura Baird, Armin Moin,
• Abstract要約: 本稿では,新しいSBOMによるグラフ学習手法を用いて,マルチハザーバビリティアタックチェーンの学習に基づく新たな研究方向を提案する。 これにより、SBOM構造とスキャナ出力を、フラットな脆弱性リストではなく、依存性に制約のあるエビデンスグラフとして扱う。 我々は、コンポーネントが少なくとも1つの既知の脆弱性と関連付けられているかどうかを予測するために、異種グラフ注意ネットワーク(HGAT)を訓練する。 我々は、脆弱性の発見を、文書化されたマルチハザーバビリティチェーンでトレーニングされた軽量Multi-Layer Perceptron(MLP)ニューラルネットワークを用いて、CVE-Pairリンク予測として表している。
• 参考スコア（独自算出の注目度）: 1.628589561701473
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Software supply chain security compromises often stem from cascaded interactions of vulnerabilities, for example, between multiple vulnerable components. Yet, Software Bill of Materials (SBOM)-based pipelines for security analysis typically treat scanner findings as independent per-CVE (Common Vulnerabilities and Exposures) records. We propose a new research direction based on learning multi-vulnerability attack chains through a novel SBOM-driven graph-learning approach. This treats SBOM structure and scanner outputs as a dependency-constrained evidence graph rather than a flat list of vulnerabilities. We represent vulnerability-enriched CycloneDX SBOMs as heterogeneous graphs whose nodes capture software components and known vulnerabilities (i.e, CVEs), connected by typed relations, such as dependency and vulnerability links. We train a Heterogeneous Graph Attention Network (HGAT) to predict whether a component is associated with at least one known vulnerability as a feasibility check for learning over this structure. Additionally, we frame the discovery of cascading vulnerabilities as CVE-pair link prediction using a lightweight Multi-Layer Perceptron (MLP) neural network trained on documented multi-vulnerability chains. Validated on 200 real-world SBOMs from the Wild SBOMs public dataset, the HGAT component classifier achieves 91.03% Accuracy and 74.02% F1-score, while the cascade predictor model (MLP) achieves a Receiver Operating Characteristic - Area Under Curve (ROC-AUC) of 0.93 on a seed set of 35 documented attack chains.
• Abstract（参考訳）: ソフトウェアサプライチェーンのセキュリティの妥協は、脆弱性のカスケードされた相互作用、例えば複数の脆弱なコンポーネント間の相互作用に起因することが多い。 しかし、セキュリティ分析のためのSoftware Bill of Materials(SBOM)ベースのパイプラインは、スキャナー発見を独立したCVE(Common Vulnerabilities and Exposures)レコードとして扱うのが一般的である。 本稿では,新しいSBOMによるグラフ学習手法を用いて,マルチハザーバビリティアタックチェーンの学習に基づく新たな研究方向を提案する。 これにより、SBOM構造とスキャナ出力を、フラットな脆弱性リストではなく、依存性に制約のあるエビデンスグラフとして扱う。 脆弱性に富んだCycloneDX SBOMは、ノードがソフトウェアコンポーネントと既知の脆弱性(CVE)をキャプチャし、依存関係や脆弱性リンクなどの型付き関係によって接続された異種グラフである。 我々は、HGAT(Heterogeneous Graph Attention Network)をトレーニングし、コンポーネントが少なくとも1つの既知の脆弱性と関連付けられているかどうかを予測する。 さらに、カスケード脆弱性の発見を、文書化されたマルチハザーバビリティチェーンでトレーニングされた軽量Multi-Layer Perceptron(MLP)ニューラルネットワークを用いて、CVE-Pairリンク予測として行う。 Wild SBOMsの公開データセットから200の現実世界のSBOMで検証され、HGATコンポーネント分類器は91.03%の精度と74.02%のF1スコアを獲得し、一方カスケード予測器モデル(MLP)は35個のドキュメント化された攻撃チェーンのシードセットで0.93の受信者動作特性-エリアアンダーカーブ(ROC-AUC)を達成する。

関連論文リスト

• Generalizing GNNs with Tokenized Mixture of Experts [75.8310720413187]
  安定性の向上には,変化に敏感な特徴への依存を低減し,既約最悪の一般化フロアを残す必要があることを示す。 本研究では,STEM-GNNを提案する。STEM-GNN,STEM-GNN,STEM-GNN,STEM-GNN,STEM-GNN,STEM-GNN,STEM-GNN,STEM-GNN,STEM-GNN。 9つのノード、リンク、グラフのベンチマークで、STEM-GNNはより強力な3方向バランスを実現し、クリアグラフ上での競争力を維持しながら、次数/ホモフィリーシフトや特徴/エッジの破損に対する堅牢性を改善している。
  論文  参考訳（メタデータ） (2026-02-09T22:48:30Z)
• Cascaded Vulnerability Attacks in Software Supply Chains [1.628589561701473]
  本稿では,SBOMによるセキュリティ分析手法とツールに対する新しいアプローチを提案する。 我々は,スキャナ出力を独立したレコードとして扱うのではなく,依存関係構造上の脆弱性関係をモデル化する。 次に、不均一グラフ注意ネットワーク(HGAT)をトレーニングして、あるコンポーネントが少なくとも1つの既知の脆弱性と関連付けられているかどうかを予測する。
  論文  参考訳（メタデータ） (2026-01-28T01:31:09Z)
• Bridging Semantics & Structure for Software Vulnerability Detection using Hybrid Network Models [0.0]
  我々は複雑な相互作用ネットワークとして制御とデータフローの関係を捉えている。 本フレームワークでは,グラフ表現と軽量(4B)局所LLMを組み合わせる。 提案手法は,グラフ注意ネットワークによる埋め込みよりも93.57%の精度で8.36%向上する。
  論文  参考訳（メタデータ） (2025-10-11T19:32:00Z)
• Ensembling Large Language Models for Code Vulnerability Detection: An Empirical Evaluation [69.8237598448941]
  本研究では,ソースコードの脆弱性検出において,Large Language Models(LLM)の性能を高めるためのアンサンブル学習の可能性を検討する。 脆弱性検出に適したスタック機能であるDynamic Gated Stacking (DGS)を提案する。
  論文  参考訳（メタデータ） (2025-09-16T03:48:22Z)
• Advancing Vulnerability Classification with BERT: A Multi-Objective Learning Model [0.0]
  本稿では,BERT(Bi Representations from Transformers)モデルを用いて複数ラベル分類を行う新しい脆弱性レポートを提案する。 システムはREST APIとStreamlit UIを介してデプロイされ、リアルタイムの脆弱性分析を可能にする。
  論文  参考訳（メタデータ） (2025-03-26T06:04:45Z)
• A Combined Feature Embedding Tools for Multi-Class Software Defect and Identification [2.2020053359163305]
  本稿では,GraphCodeBERTとGraph Convolutional Networkを組み合わせた実験手法であるCodeGraphNetを提案する。 この方法は、機能間の複雑な関係をキャプチャし、より正確な脆弱性の識別と分離を可能にする。 決定木とニューラルネットワークのハイブリッドであるDeepTreeモデルは、最先端のアプローチよりも優れています。
  論文  参考訳（メタデータ） (2024-11-26T17:33:02Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• An Unbiased Transformer Source Code Learning with Semantic Vulnerability Graph [3.3598755777055374]
  現在の脆弱性スクリーニング技術は、新しい脆弱性を特定したり、開発者がコード脆弱性と分類を提供するのに効果がない。 これらの問題に対処するために,変換器 "RoBERTa" とグラフ畳み込みニューラルネットワーク (GCN) を組み合わせたマルチタスク・アンバイアス脆弱性分類器を提案する。 本稿では、逐次フロー、制御フロー、データフローからエッジを統合することで生成されたソースコードからのセマンティック脆弱性グラフ(SVG)表現と、Poacher Flow(PF)と呼ばれる新しいフローを利用したトレーニングプロセスを提案する。
  論文  参考訳（メタデータ） (2023-04-17T20:54:14Z)
• Software Vulnerability Detection via Deep Learning over Disaggregated Code Graph Representation [57.92972327649165]
  この研究は、コードコーパスから安全でないパターンを自動的に学習するためのディープラーニングアプローチを探求する。 コードには解析を伴うグラフ構造が自然に認められるため,プログラムの意味的文脈と構造的規則性の両方を利用する新しいグラフニューラルネットワーク(GNN)を開発する。
  論文  参考訳（メタデータ） (2021-09-07T21:24:36Z)
• Information Obfuscation of Graph Neural Networks [96.8421624921384]
  本稿では,グラフ構造化データを用いた学習において,情報難読化による機密属性保護の問題について検討する。 本稿では,全変動量とワッサーシュタイン距離を交互に学習することで,事前決定された機密属性を局所的にフィルタリングするフレームワークを提案する。
  論文  参考訳（メタデータ） (2020-09-28T17:55:04Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。