CVE記述が存在するセキュリティバグ修正に関する調査

中野大扉; 亀井靖高; 鵜林尚靖; 佐藤亮介

文献

J-GLOBAL ID：201802264115578670 整理番号：18A0657256

CVE記述が存在するセキュリティバグ修正に関する調査

出版者サイト {{ this.onShowPLink() }} 複写サービスで全文入手 {{ this.onShowCLink("http://jdream3.com/copy/?sid=JGLOBAL&noSystem=1&documentNoArray=18A0657256&COPY=1") }}
高度な検索・分析はJDreamⅢで {{ this.onShowJLink("http://jdream3.com/lp/jglobal/index.html?docNo=18A0657256&from=J-GLOBAL&jstjournalNo=U0451A") }}

著者 (4件)： , , ,
資料名：
巻： 2018 号： SE-198 ページ： Vol.2018-SE-198,No.24,1-7 (WEB ONLY) 発行年： 2018年03月02日
JST資料番号： U0451A 資料種別：会議録 (C)
記事区分：原著論文発行国：日本 (JPN) 言語：日本語 (JA)

ソフトウェア開発において,セキュリティバグの修正は重要な作業の一つである。本研究では,オープンソースソフトウェア(OSS)の開発リポジトリから,セキュリティバグの共通識別子であるCommon Vulnerabilities and Exposures(CVE)の記述が存在するセキュリティバグ修正を取得し,その修正時間や方法について,次の3つのResearch Questions(RQ)を基に調査を行った。セキュリティバグが公開されてから修正されるまでの時間はどれくらいかというRQについて調査した結果,セキュリティバグが公開されてから問題報告が行われるまでの期間と,問題報告が行われてから修正されるまでの期間を比べると,前者の方が長い問題報告は4388件中3397件(77%)であった。セキュリティバグの修正時間と開発の規模に相関があるかというRQについて調査を行った結果,開発人数,リポジトリがフォークされた数,ウォッチャー数,リポジトリが作成された日の4つの指標とセキュリティバグの修正時間に十分な相関がないことが分かった。セキュリティバグの修正に関するパターンにはどのような種類があるかというRQについて目視調査を行い,セキュリティバグの修正方法を脆弱性が修正されたバージョンへの更新,開発プロジェクト内コードの修正,脆弱性情報の参照,その他の4種類に分類した。(著者抄録)

, , , , , , , , , , ,
, ,

計算機システム開発 , データ保護

引用文献 (10件)：

Aranda, J. and Venolia, G.: The secret life of bugs: Going past the errors and omissions in software repositories, Proceedings of the 31st International Conference on Software Engineering, ICSE 2009, pp. 298-308 (2009).
Gousios, G.: The GHTorent dataset and tool suite, Proceedings of the 10th Working Conference on Mining Software Repositories, MSR 2013, pp. 233-236 (2013).
Kalliamvakou, E., Gousios, G., Blincoe, K., Singer, L., Germ?n, D. M. and Damian, D.: The promises and perils of mining GitHub, Proceedings of the 11th Working Conference on Mining Software Repositories, MSR 2014, pp. 92-101 (2014).
Ma, W., Chen, L., Zhang, X., Zhou, Y. and Xu, B.: How do developers fix cross-project correlated bugs?: a case study on the GitHub scientific python ecosystem, Proceedings of the 39th International Conference on Software Engineering, ICSE 2017, pp. 381-392 (2017).
Matragkas, N. D., Williams, J. R., Kolovos, D. S. and Paige, R. F.: Analysing the ’biodiversity’ of open source ecosystems: the GitHub case, Proceedings of the 11th Working Conference on Mining Software Repositories, MSR 2014, pp. 356-359 (2014).

, , ,

前のページに戻る