オープンソースソフトウェアのアップデートにおけるセキュリティ修正をピンポイントで特定する新しいツール(New Tool Pinpoints Security Fixes in Open-Source Software Updates)

ad

2024-05-09 ノースカロライナ州立大学(NCState)

研究者たちは、オープンソースソフトウェアの更新を分析し、最近特定されたセキュリティの脆弱性に対応するために修正されているコードのセクションを特定する新しいツール「VFCFinder」を開発しました。このツールにより、プログラマーは不必要な変更を行うことなく、どのセキュリティ更新が必要かを迅速かつ簡単に判断できます。VFCFinderは、特定の脆弱性を修正するために変更されたコードのセクションを識別し、プログラマーが更新を決定する際の助けとなります。このツールのテストでは、修正に責任のあるコミットを96.6%の精度で特定できました。

<関連情報>

VFCFinder: セキュリティ勧告とパッチのシームレスなペアリング VFCFinder: Seamlessly Pairing Security Advisories and Patches

Trevor Dunlap, Elizabeth Lin, William Enck, Bradley Reaves
arXiv  Submitted on 2 Nov 2023
DOI:https://doi.org/10.48550/arXiv.2311.01532

オープンソースソフトウェアのアップデートにおけるセキュリティ修正をピンポイントで特定する新しいツール(New Tool Pinpoints Security Fixes in Open-Source Software Updates)

Abstract

Security advisories are the primary channel of communication for discovered vulnerabilities in open-source software, but they often lack crucial information. Specifically, 63% of vulnerability database reports are missing their patch links, also referred to as vulnerability fixing commits (VFCs). This paper introduces VFCFinder, a tool that generates the top-five ranked set of VFCs for a given security advisory using Natural Language Programming Language (NL-PL) models. VFCFinder yields a 96.6% recall for finding the correct VFC within the Top-5 commits, and an 80.0% recall for the Top-1 ranked commit. VFCFinder generalizes to nine different programming languages and outperforms state-of-the-art approaches by 36 percentage points in terms of Top-1 recall. As a practical contribution, we used VFCFinder to backfill over 300 missing VFCs in the GitHub Security Advisory (GHSA) database. All of the VFCs were accepted and merged into the GHSA database. In addition to demonstrating a practical pairing of security advisories to VFCs, our general open-source implementation will allow vulnerability database maintainers to drastically improve data quality, supporting efforts to secure the software supply chain.

1602ソフトウェア工学
ad
ad
Follow
ad
タイトルとURLをコピーしました