Can we use software bug reports to identify vulnerability discovery strategies

计算机科学 脆弱性(计算) 软件错误 软件 漏洞管理 软件工程 软件开发 脆弱性评估
作者
Farzana Ahamed Bhuiyan,Raunak Shakya,Akond Rahman
标识
DOI:10.1145/3384217.3385618
摘要

Daily horror stories related to software vulnerabilities necessitates the understanding of how vulnerabilities are discovered. Identification of data sources that can be leveraged to understand how vulnerabilities are discovered could aid cybersecurity researchers to characterize exploitation of vulnerabilities. The goal of the paper is to help cybersecurity researchers in characterizing vulnerabilities by conducting an empirical study of software bug reports. We apply qualitative analysis on 729, 908, and 5336 open source software (OSS) bug reports respectively, collected from Gentoo, LibreOffice, and Mozilla to investigate if bug reports include vulnerability discovery strategies i.e. sequences of computation and/or cognitive activities that an attacker performs to discover vulnerabilities, where the vulnerability is indexed by a credible source, such as the National Vulnerability Database (NVD). We evaluate two approaches namely, text feature-based approach and regular expression-based approach to automatically identify bug reports that include vulnerability discovery strategies. We observe the Gentoo, LibreOffice, and Mozilla bug reports to include vulnerability discovery strategies. Using text feature-based prediction models, we observe the highest prediction performance for the Mozilla dataset with a recall of 0.78. Using the regular expression-based approach we observe recall to be 0.83 for the same dataset. Findings from our paper provide the groundwork for cybersecurity researchers to use OSS bug reports as a data source for advancing the science of vulnerabilities.

科研通智能强力驱动
Strongly Powered by AbleSci AI
科研通是完全免费的文献互助平台,具备全网最快的应助速度,最高的求助完成率。 对每一个文献求助,科研通都将尽心尽力,给求助人一个满意的交代。
实时播报
Vme50完成签到,获得积分10
2秒前
眼睛大夜白完成签到 ,获得积分10
4秒前
Kao应助木木采纳,获得10
6秒前
青平完成签到 ,获得积分10
8秒前
浅影完成签到 ,获得积分10
16秒前
英俊的铭应助根号五采纳,获得10
24秒前
单纯的忆安完成签到 ,获得积分10
25秒前
西扬完成签到 ,获得积分10
29秒前
aaaa完成签到 ,获得积分10
32秒前
看文献完成签到,获得积分0
33秒前
一碗小米粥完成签到 ,获得积分10
35秒前
不如看海完成签到 ,获得积分10
39秒前
kingnb完成签到,获得积分10
46秒前
晨曦完成签到,获得积分10
46秒前
Zhaoli发布了新的文献求助10
47秒前
卢星彤完成签到 ,获得积分10
47秒前
mzhang2完成签到 ,获得积分10
48秒前
不安的醉薇完成签到,获得积分10
53秒前
planto完成签到,获得积分10
55秒前
XU博士完成签到,获得积分10
57秒前
FCL完成签到,获得积分10
58秒前
Leung完成签到,获得积分10
1分钟前
Fairy完成签到 ,获得积分10
1分钟前
简单妖妖完成签到 ,获得积分10
1分钟前
shann完成签到,获得积分10
1分钟前
李健的小迷弟应助飛666采纳,获得10
1分钟前
1分钟前
春春完成签到,获得积分10
1分钟前
弈天完成签到 ,获得积分10
1分钟前
风格完成签到,获得积分10
1分钟前
今天开心吗完成签到 ,获得积分10
1分钟前
jianjiao完成签到,获得积分10
1分钟前
seekingalone完成签到 ,获得积分10
1分钟前
化学民工完成签到 ,获得积分10
1分钟前
迅速的千风完成签到 ,获得积分10
1分钟前
云飞扬发布了新的文献求助20
1分钟前
molihuakai应助飛666采纳,获得10
1分钟前
1分钟前
Zhaoli完成签到,获得积分0
1分钟前
liaosion完成签到 ,获得积分10
1分钟前
高分求助中
(应助此贴封号)【重要!!请各用户(尤其是新用户)详细阅读】【科研通的精品贴汇总】 10000
2026年中国辛酸癸酸聚乙二醇甘油酯行业市场现状调查及投资机会研判报告 1000
2026年中国辛酸癸酸聚乙二醇甘油酯行业市场规模及竞争格局分析报告 1000
48V Low-voltage Power Distribution Network (PDN) Architecture Industry Report, 2024 800
Fundamentals of Pharmaceutical and Biologics Regulations: A Global Perspective, Second Edition 700
Matrix Methods in Data Mining and Pattern Recognition Second Edition 510
Periodic Report Summary 2 - AFTER (A Framework for electrical power sysTems vulnerability identification, dEfense and Restoration) 500
热门求助领域 (近24小时)
化学 材料科学 医学 生物 纳米技术 工程类 有机化学 化学工程 生物化学 计算机科学 内科学 物理 复合材料 催化作用 细胞生物学 无机化学 光电子学 物理化学 电极 基因
热门帖子
关注 科研通微信公众号,转发送积分 7318509
求助须知:如何正确求助?哪些是违规求助? 8934234
关于积分的说明 18938452
捐赠科研通 6977289
什么是DOI,文献DOI怎么找? 3214245
关于科研通互助平台的介绍 2382193
邀请新用户注册赠送积分活动 2193204