- 简介高质量的真实漏洞数据集对于软件安全领域的后续研究非常有价值,但是现有的数据集通常很小,需要大量手动更新,并且缺少这种研究所需的关键特征。在本文中,我们介绍了ARVO:一个开源软件中可重现漏洞的地图集。通过从Google的OSS-Fuzz发现的C/C++项目中获取漏洞并实现可靠的重新编译系统,我们成功地重现了超过250个项目中的5,000多个内存漏洞,每个漏洞都有一个触发输入、官方开发人员编写的修补程序以及自动重建源代码并在其易受攻击和修补版本上运行的能力。此外,我们的数据集可以随着OSS-Fuzz发现新漏洞而自动更新,使其随着时间的推移而增长。我们对ARVO数据集进行了详细的描述,表明它可以比Google自己的OSV重现工作更准确地定位修复程序,并通过两个案例研究展示了它的未来研究价值:首先评估基于实际世界的LLM漏洞修复,其次从OSS-Fuzz错误标记的项目中识别出超过300个错误修补(仍然活跃的)零日漏洞。
- 图表
- 解决问题ARVO: 一个可重现的开源软件漏洞数据集
- 关键思路通过从Google的OSS-Fuzz中发现漏洞并实现可靠的重新编译系统,成功重现了250多个项目中的5000多个内存漏洞,并提供了自动更新的功能。
- 其它亮点ARVO数据集能够更准确地定位修复程序,并通过两个案例研究展示了其未来研究的价值。
- 与该论文相关的研究包括Google的OSV重现工作和实际的LLM漏洞修复评估。
沙发等你来抢
去评论
评论
沙发等你来抢