| Item type |
SIG Technical Reports(1) |
| 公開日 |
2018-03-02 |
| タイトル |
|
|
タイトル |
CVE記述が存在するセキュリティバグ修正に関する調査 |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
Webとセキュリティ |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
九州大学 |
| 著者所属 |
|
|
|
九州大学 |
| 著者所属 |
|
|
|
九州大学 |
| 著者所属 |
|
|
|
九州大学 |
| 著者名 |
中野, 大扉
亀井, 靖高
鵜林, 尚靖
佐藤, 亮介
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
ソフトウェア開発において,セキュリティバグの修正は重要な作業の一つである.本研究では,オープンソースソフトウェア (OSS) の開発リポジトリから,セキュリティバグの共通識別子である Common Vulnerabilities and Exposures (CVE) の記述が存在するセキュリティバグ修正を取得し,その修正時間や方法について,次の 3 つの Research Questions (RQ) を基に調査を行った.セキュリティバグが公開されてから修正されるまでの時間はどれくらいかという RQ について調査した結果,セキュリティバグが公開されてから問題報告が行われるまでの期間と,問題報告が行われてから修正されるまでの期間を比べると,前者の方が長い問題報告は 4388 件中 3397 件 (77%) であった.セキュリティバグの修正時間と開発の規模に相関があるかという RQ について調査を行った結果,開発人数,リポジトリがフォークされた数,ウォッチャー数,リポジトリが作成された日の 4 つの指標とセキュリティバグの修正時間に十分な相関がないことが分かった.セキュリティバグの修正に関するパターンにはどのような種類があるかという RQ について目視調査を行い,セキュリティバグの修正方法を脆弱性が修正されたバージョンへの更新,開発プロジェクト内コードの修正,脆弱性情報の参照,その他の 4 種類に分類した. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN10112981 |
| 書誌情報 |
研究報告ソフトウェア工学(SE)
巻 2018-SE-198,
号 24,
p. 1-7,
発行日 2018-03-02
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8825 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-SE18198024.pdf (874.3 kB)
