論文の概要: On the Informativeness of Security Commit Messages: A Large-scale Replication Study
- arxiv url: http://arxiv.org/abs/2604.20461v1
- Date: Wed, 22 Apr 2026 11:41:42 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-04-23 15:36:11.109248
- Title: On the Informativeness of Security Commit Messages: A Large-scale Replication Study
- Title(参考訳): セキュリティコミットメッセージのインフォーマル性について:大規模レプリケーションによる検討
- Authors: Syful Islam, Stefano Zacchiroli,
- Abstract要約: セキュリティ関連のコミットメッセージはパッチトリアージには不可欠だ。
以前の調査では、コミットメッセージは多くの場合、これらのアクティビティをサポートするには非形式的すぎると報告されていた。
- 参考スコア(独自算出の注目度): 3.784900254151546
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: The informativeness of security-related commit messages is crucial for patch triage: when high, it enables the rapid distribution and deployment of security fixes. Prior research (Reis et al., 2023) reported, however, that commit messages are often too uninformative to support these activities. To assess the robustness of this negative result, we independently replicate the original study using only the information provided in the paper, without reusing any of the original artifacts (data, analysis pipeline, etc.). We retrieve \num{50673} security-related commits and analyze their informativeness using an independent re-implementation of the techniques introduced by Reis et al. For the same source (i.e., GitHub) and time period (from June 1999 to August 2022) as the original study, our replication confirms the original findings in a statistically significant way: security-related commit messages are, in general, not informative enough for security-focused purposes. We then extend the original study in several ways. Over a longer time period (from June 1999 to October 2025), we find that commit-message informativeness is worsening. Breaking results down by software ecosystem (Linux kernel, Ubuntu, Go, PyPI, etc.), we observe significant differences in informativeness. Finally, we examine emerging best practices for writing commit messages, such as the Conventional Commits Specification (CCS), and again find significant differences in an unexpected direction: CCS-compliant commits are less informative than non-compliant ones. Our findings highlight the need for cross-ecosystem analyses to understand platform- and community-specific commit-message practices, and to inform the development and adoption of universally applicable guidelines for writing informative security-related commit messages.
- Abstract(参考訳): セキュリティ関連のコミットメッセージの通知は、パッチトリアージに不可欠である。
しかし、以前の研究(Reis et al , 2023)では、コミットメッセージはしばしばこれらの活動をサポートするには非形式的すぎると報告されている。
この否定的な結果のロバスト性を評価するため,本論文では,原資料(データ,解析パイプラインなど)を再利用することなく,論文で提供した情報のみを用いて,原研究を独立に再現する。
セキュリティ関連のコミットを検索し、Reisらによって導入されたテクニックの独立した再実装(GitHub)と時間(1999年6月から2022年8月まで)を用いて、その情報性を分析します。
次に、元の研究をいくつかの方法で拡張します。
1999年6月から2025年10月までの長い期間にわたって、コミットメッセージの情報性が悪化していることがわかりました。
ソフトウェアエコシステム(Linuxカーネル、Ubuntu、Go、PyPIなど)による結果のブレークダウンは、情報性に大きな違いを観察します。
最後に、従来のコミット仕様(CCS)のようなコミットメッセージを書くための新たなベストプラクティスを検討し、予期せぬ方向への大きな違いを見出した。
本研究は、プラットフォームやコミュニティ固有のコミット・メッセージの実践を理解し、セキュリティ関連のコミットメッセージを書くための普遍的なガイドラインの開発と適用について、クロスエコシステム分析の必要性を強調した。
関連論文リスト
- Why Authors and Maintainers Link (or Don't Link) Their PyPI Libraries to Code Repositories and Donation Platforms [83.16077040470975]
Python Package Index(PyPI)上のライブラリのメタデータは、オープンソースライブラリの透明性、信頼性、持続性をサポートする上で重要な役割を果たす。
本稿は,5万PyPIの著者とメンテナに送付された2つの対象調査を組み合わせた大規模実証研究である。
我々は,大規模言語モデル(LLM)に基づくトピックモデリングを用いて1,400以上の応答を分析し,リポジトリと寄付プラットフォームのリンクに関連する重要なモチベーションと障壁を明らかにする。
論文 参考訳(メタデータ) (2026-01-21T16:13:57Z) - Analyzing the Availability of E-Mail Addresses for PyPI Libraries [89.21869606965578]
81.6%のライブラリには、少なくとも1つの有効な電子メールアドレスが含まれており、PyPIが主要なソースとなっている。
698,000以上の無効なエントリを識別します。
論文 参考訳(メタデータ) (2026-01-20T14:54:58Z) - Paper Summary Attack: Jailbreaking LLMs through LLM Safety Papers [61.57691030102618]
我々は新しいジェイルブレイク手法であるペーパー・サプリメント・アタック(llmnamePSA)を提案する。
攻撃に焦点をあてたLLM安全紙からコンテンツを合成し、敵のプロンプトテンプレートを構築する。
実験では、ベースLLMだけでなく、Deepseek-R1のような最先端の推論モデルにも重大な脆弱性がある。
論文 参考訳(メタデータ) (2025-07-17T18:33:50Z) - Decompiling Smart Contracts with a Large Language Model [51.49197239479266]
Etherscanの78,047,845のスマートコントラクトがデプロイされているにも関わらず(2025年5月26日現在)、わずか767,520 (1%)がオープンソースである。
この不透明さは、オンチェーンスマートコントラクトバイトコードの自動意味解析を必要とする。
バイトコードを可読でセマンティックに忠実なSolidityコードに変換する,先駆的な逆コンパイルパイプラインを導入する。
論文 参考訳(メタデータ) (2025-06-24T13:42:59Z) - Illusions of Relevance: Using Content Injection Attacks to Deceive Retrievers, Rerankers, and LLM Judges [52.96987928118327]
検索,リランカー,大型言語モデル(LLM)の埋め込みモデルは,コンテンツインジェクション攻撃に対して脆弱であることがわかった。
主な脅威は,(1) 意味不明な内容や有害な内容の挿入,(2) 関連性を高めるために,問合せ全体あるいはキークエリ用語の挿入,の2つである。
本研究は, 注射内容の配置や関連物質と非関連物質とのバランスなど, 攻撃の成功に影響を与える要因を系統的に検討した。
論文 参考訳(メタデータ) (2025-01-30T18:02:15Z) - Usefulness of data flow diagrams and large language models for security threat validation: a registered report [1.8876415010297898]
脅威分析とリスクアセスメントは、新しいオードシステムのセキュリティ脅威を特定するために使用される。
完了の定義が欠如しているため、特定された脅威を検証する必要があるため、分析が遅くなる。
既存の文献では、脅威分析の全体的なパフォーマンスに焦点が当てられているが、これまでの研究では、アナリストが特定されたセキュリティ脅威を効果的に検証する前に、どの程度の深さを掘り下げなければならないかを調査していない。
論文 参考訳(メタデータ) (2024-08-14T13:14:27Z) - What Can Self-Admitted Technical Debt Tell Us About Security? A
Mixed-Methods Study [6.286506087629511]
自己充足型技術的負債(SATD)
潜在的に悪用可能な脆弱性や セキュリティ上の欠陥に関する 恐ろしい情報源と見なすことができます
本研究は、SATDのセキュリティへの影響を、技術と開発者中心の観点から検討する。
論文 参考訳(メタデータ) (2024-01-23T13:48:49Z) - Robust Recommender System: A Survey and Future Directions [58.87305602959857]
まず,悪質な攻撃や自然騒音に耐える現在の手法を整理するための分類法を提案する。
次に、不正検出、敵の訓練、悪意のある攻撃から守るための確実な堅牢な訓練など、各カテゴリにおける最先端の手法を検討する。
さまざまなレコメンデーションシナリオの堅牢性や,正確性や解釈可能性,プライバシ,公正性といった他の特性との相互作用について論じる。
論文 参考訳(メタデータ) (2023-09-05T08:58:46Z) - Early Detection of Security-Relevant Bug Reports using Machine Learning:
How Far Are We? [6.438136820117887]
典型的なメンテナンスシナリオでは、セキュリティ関連バグレポートは、修正パッチを作成する際に開発チームによって優先される。
オープンなセキュリティ関連バグレポートは、攻撃者がゼロデイ攻撃を実行するために活用できる機密情報の重大な漏洩になる可能性がある。
近年,機械学習に基づくセキュリティ関連バグレポートの検出手法が,有望な性能で報告されている。
論文 参考訳(メタデータ) (2021-12-19T11:30:29Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。