Item type |
Symposium(1) |
公開日 |
2024-10-15 |
タイトル |
|
|
言語 |
ja |
|
タイトル |
オープンソースソフトウェアを対象とした脆弱性修正状況の収集と調査 |
タイトル |
|
|
言語 |
en |
|
タイトル |
Investigation of Software Patch for Open Source Software |
言語 |
|
|
言語 |
jpn |
資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
著者所属 |
|
|
|
神戸大学 |
著者所属 |
|
|
|
セコム株式会社 |
著者所属 |
|
|
|
サイオステクノロジー株式会社 |
著者所属 |
|
|
|
岡山大学 |
著者所属(英) |
|
|
|
en |
|
|
Kobe University |
著者所属(英) |
|
|
|
en |
|
|
SECOM Co., Ltd., |
著者所属(英) |
|
|
|
en |
|
|
SIOS Technology, Inc. |
著者所属(英) |
|
|
|
en |
|
|
Okayama Univeristy |
著者名 |
葛野, 弘樹
矢野, 智彦
面, 和毅
山内, 利宏
|
著者名(英) |
Hiroki, Kuzuno
Tomohiko, Yano
Kazuki, Omo
Toshihiro, Yamauchi
|
論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
情報システムにおいて,オープンソースソフトウェア(OSS)は多数採用されている.OSS の開発は開発者コミュニティにより行われており,脆弱性報告へのセキュリティ対応として,脆弱性修正に必要なソースコード変更が行われている.既存のセキュリティ対策のうち,脆弱性管理では,脆弱性情報に含まれるOSS のバージョンを参照し,情報システムで用いるOSS のバージョンが含まれるかにより脆弱性有無の確認が行われる.しかし,脆弱性修正に伴うソースコード変更は脆弱性情報に含まれないことから正確に把握することは難しい.また,OSS の脆弱性情報から脆弱性修正に伴うソースコード変更の入手可能性は明らかではない.本稿では,このような課題を解決するため,OSS に関する脆弱性情報と脆弱性修正に伴うソースコード変更を調査した.本調査では,脆弱性情報を解析し,OSS に関する脆弱性修正に伴うソースコード変更の自動収集を実現,収集した脆弱性修正のソースコードを分析可能なことを確認した.評価における調査対象OSS をデータベース,メモリキャッシュ,Web サーバ,プログラミング言語,シェルサーバ,ならびにライブラリから1 つずつ選定した.評価結果より,調査対象OSS の脆弱性修正変更に伴うソースコード変更は脆弱性840 件に対して,101 件確認し,脆弱性修正に伴うソースコード変更の規模は平均3.4 ファイルに対し,平均45.2 行の追加,および平均25.4 行の削除であることを明らかにした. |
論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Open source software (OSS) is widely adopted in information systems and security responses to vulnerability reports involve source code changes necessary to fix vulnerabilities. However, it is difficult to check how source code changes are made to fix vulnerabilities and to understand the content. In this paper, we surveyed vulnerability information on OSS and source code changes associated with vulnerability fixes. Specifically, we analyzed the vulnerability information of major OSS, realized automatic collection of source code changes related to vulnerability fixes, and confirmed that the collected source code of vulnerability fixes can be analyzed comprehensively. |
書誌情報 |
コンピュータセキュリティシンポジウム2024論文集
p. 1226-1233,
発行日 2024-10-15
|
出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |