会员服务
元数据 · Java · 软件 · 代码 · 识别 ·
1 月 30 日
Uncovering Hidden Inclusions of Vulnerable Dependencies in Real-World Java Projects
翻译:揭示真实世界Java项目中隐藏的易受攻击依赖项
Stefan Schott,Serena Elisa Ponta,Wolfram Fischer,Jonas Klauke,Eric Bodden
Stefan Schott,Serena Elisa Ponta,Wolfram Fischer,Jonas Klauke,Eric Bodden

Open-source software (OSS) dependencies are a dominant component of modern software code bases. Using proven and well-tested OSS components lets developers reduce development time and cost while improving quality. However, heavy reliance on open-source software also introduces significant security risks, including the incorporation of known vulnerabilities into the codebase. To mitigate these risks, metadata-based dependency scanners, which are lightweight and fast, and code-centric scanners, which enable the detection of modified dependencies hidden from metadata-based approaches, have been developed. In this paper, we present Unshade, a hybrid approach towards dependency scanning in Java that combines the efficiency of metadata-based scanning with the ability to detect modified dependencies of code-centric approaches. Unshade first augments a Java project's software bill of materials (SBOM) by identifying modified and hidden dependencies via a bytecode-based fingerprinting mechanism. This augmented SBOM is then passed to a metadata-based vulnerability scanner to identify known vulnerabilities in both declared and newly revealed dependencies. Leveraging Unshade's high scalability, we conducted a large-scale study of the 1,808 most popular open-source Java Maven projects on GitHub. The results show that nearly 50% of these projects contain at least one modified, hidden dependency associated with a known vulnerability. On average, each affected project includes more than eight such hidden vulnerable dependencies, all missed by traditional metadata-based scanners. Overall, Unshade identified 7,712 unique CVEs in hidden dependencies that would remain undetected when relying on metadata-based scanning alone.


翻译:开源软件(OSS)依赖项是现代软件代码库的主要组成部分。使用经过验证且充分测试的OSS组件可帮助开发者缩短开发时间、降低成本并提升质量。然而,对开源软件的深度依赖也带来了重大的安全风险,包括将已知漏洞引入代码库。为缓解这些风险,业界已开发出基于元数据的轻量级快速依赖扫描器,以及能够检测基于元数据方法无法发现的隐蔽依赖项的代码中心化扫描器。本文提出Unshade——一种面向Java依赖扫描的混合方法,该方法结合了基于元数据扫描的高效性与代码中心化方法检测修改后依赖项的能力。Unshade首先通过基于字节码的指纹识别机制识别被修改和隐藏的依赖项,从而扩展Java项目的软件物料清单(SBOM)。随后将扩展后的SBOM传递给基于元数据的漏洞扫描器,以识别声明依赖项和新发现依赖项中的已知漏洞。借助Unshade的高可扩展性,我们对GitHub上1,808个最受欢迎的开源Java Maven项目进行了大规模研究。结果表明,近50%的项目至少包含一个与已知漏洞相关的被修改、隐藏的依赖项。平均每个受影响项目包含超过八个此类隐藏的易受攻击依赖项,这些依赖项均被传统基于元数据的扫描器遗漏。总体而言,Unshade在隐藏依赖项中识别出7,712个独特CVE漏洞,这些漏洞若仅依赖基于元数据的扫描将无法被发现。
0
下载
关闭预览

相关内容

元数据(Metadata),又称元数据、中介数据、中继数据[来源请求],为描述数据的数据(data about data),主要是描述数据属性(property)的信息,用来支持如指示存储位置、历史数据、资源查找、文件纪录等功能。元数据算是一种电子式目录,为了达到编制目录的目的,必须在描述并收藏数据的内容或特色,进而达成协助数据检索的目的。
对抗性实验:利用敏感性分析、邻域搜索启发式算法和概率性想定生成来暴露人工智能弱点 | 2025最新83页
对抗性实验:利用敏感性分析、邻域搜索启发式算法和概率性想定生成来暴露人工智能弱点 | 2025最新83页
专知会员服务
25+阅读 · 2025年10月21日
深度学习中的架构后门:漏洞、检测与防御综述
深度学习中的架构后门:漏洞、检测与防御综述
专知会员服务
12+阅读 · 2025年7月19日
《AI/ML 供应链软件依赖性风险分析》2023最新95页论文
《AI/ML 供应链软件依赖性风险分析》2023最新95页论文
专知会员服务
39+阅读 · 2023年12月19日
《使用静态污点分析检测恶意代码》CMU最新30页slides
《使用静态污点分析检测恶意代码》CMU最新30页slides
专知会员服务
21+阅读 · 2023年10月11日
《理解、评估和缓解人工智能系统中的安全风险》美海军67页论文
《理解、评估和缓解人工智能系统中的安全风险》美海军67页论文
专知会员服务
52+阅读 · 2023年3月25日
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
专知会员服务
66+阅读 · 2022年4月14日
深度生成模型如何对抗攻击?中国地大等《深度生成模型的对抗性攻击》综述全面阐述GAN和VAEs安全性和隐私保护
深度生成模型如何对抗攻击?中国地大等《深度生成模型的对抗性攻击》综述全面阐述GAN和VAEs安全性和隐私保护
专知会员服务
22+阅读 · 2021年12月3日
机器学习隐私综述论文,An Overview of Privacy in Machine Learning
机器学习隐私综述论文,An Overview of Privacy in Machine Learning
专知会员服务
81+阅读 · 2020年5月20日
【UCSD-MIT】深度学习隐私综述论文,Privacy in Deep Learning: A Survey
【UCSD-MIT】深度学习隐私综述论文,Privacy in Deep Learning: A Survey
专知会员服务
68+阅读 · 2020年4月28日
中科院信工所发布《深度学习系统的隐私与安全》综述论文,187篇文献总结
中科院信工所发布《深度学习系统的隐私与安全》综述论文,187篇文献总结
专知会员服务
103+阅读 · 2019年12月5日
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
专知
17+阅读 · 2022年4月16日
这个项目火了!各种深度学习架构,模型和技巧的集合
这个项目火了!各种深度学习架构,模型和技巧的集合
大数据技术
14+阅读 · 2019年6月13日
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
专知
79+阅读 · 2019年4月24日
AnDOSid - 适用于黑客的Android应用程序
AnDOSid - 适用于黑客的Android应用程序
黑白之道
11+阅读 · 2019年3月14日
被动DNS,一个被忽视的安全利器
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
25+阅读 · 2019年3月8日
Github项目推荐 | 基于 deepfakes (视频换脸)的非官方项目deepfakes_faceswap
Github项目推荐 | 基于 deepfakes (视频换脸)的非官方项目deepfakes_faceswap
AI研习社
10+阅读 · 2019年2月20日
GitHub项目推荐 | 深度抠图(Keras/TensorFlow/OpenCV) - Deep Image Matting
GitHub项目推荐 | 深度抠图(Keras/TensorFlow/OpenCV) - Deep Image Matting
AI研习社
70+阅读 · 2018年12月29日
资深算法工程师万宫玺:Java 工程师转型 AI 的秘密法宝——深度学习框架 Deeplearning4j | 分享总结
资深算法工程师万宫玺:Java 工程师转型 AI 的秘密法宝——深度学习框架 Deeplearning4j | 分享总结
AI研习社
11+阅读 · 2018年1月4日
Java 工程师转型 AI 的秘密法宝——深度学习框架 Deeplearning4j | 回顾
Java 工程师转型 AI 的秘密法宝——深度学习框架 Deeplearning4j | 回顾
AI研习社
11+阅读 · 2017年12月16日
移动互联网的用户隐私保护研究
国家自然科学基金
2+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
即时通信中的隐蔽通信模型及方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
数据流发布中的隐私保护理论和方法研究
国家自然科学基金
7+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
拒绝服务攻击下的信息物理系统安全理论研究
国家自然科学基金
4+阅读 · 2015年12月31日
Android移动终端多语种基础软件组合的安全技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Quantifying Competitive Relationships Among Open-Source Software Projects
Arxiv
0+阅读 · 2月19日
Leveraging Language Models to Discover Evidence-Based Actions for OSS Sustainability
Arxiv
0+阅读 · 2月12日
Hidden Licensing Risks in the LLMware Ecosystem
Arxiv
0+阅读 · 2月11日
Predicting Open Source Software Sustainability with Deep Temporal Neural Hierarchical Architectures and Explainable AI
Arxiv
0+阅读 · 2月9日
Artificial Intelligence in Open Source Software Engineering: A Foundation for Sustainability
Arxiv
0+阅读 · 2月5日
Inference-Time Backdoors via Hidden Instructions in LLM Chat Templates
Arxiv
0+阅读 · 2月5日
Classport: Designing Runtime Dependency Introspection for Java
Arxiv
0+阅读 · 1月23日
Insecure Ingredients? Exploring Dependency Update Patterns of Bundled JavaScript Packages on the Web
Arxiv
0+阅读 · 1月23日
Community Engagement and the Lifespan of Open-Source Software Projects
Arxiv
0+阅读 · 1月22日
Governance Matters: Lessons from Restructuring the data.table OSS Project
Arxiv
0+阅读 · 1月19日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
元数据
Java
软件
代码
识别
相关VIP内容
对抗性实验:利用敏感性分析、邻域搜索启发式算法和概率性想定生成来暴露人工智能弱点 | 2025最新83页
对抗性实验:利用敏感性分析、邻域搜索启发式算法和概率性想定生成来暴露人工智能弱点 | 2025最新83页
专知会员服务
25+阅读 · 2025年10月21日
深度学习中的架构后门:漏洞、检测与防御综述
深度学习中的架构后门:漏洞、检测与防御综述
专知会员服务
12+阅读 · 2025年7月19日
《AI/ML 供应链软件依赖性风险分析》2023最新95页论文
《AI/ML 供应链软件依赖性风险分析》2023最新95页论文
专知会员服务
39+阅读 · 2023年12月19日
《使用静态污点分析检测恶意代码》CMU最新30页slides
《使用静态污点分析检测恶意代码》CMU最新30页slides
专知会员服务
21+阅读 · 2023年10月11日
《理解、评估和缓解人工智能系统中的安全风险》美海军67页论文
《理解、评估和缓解人工智能系统中的安全风险》美海军67页论文
专知会员服务
52+阅读 · 2023年3月25日
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
专知会员服务
66+阅读 · 2022年4月14日
深度生成模型如何对抗攻击?中国地大等《深度生成模型的对抗性攻击》综述全面阐述GAN和VAEs安全性和隐私保护
深度生成模型如何对抗攻击?中国地大等《深度生成模型的对抗性攻击》综述全面阐述GAN和VAEs安全性和隐私保护
专知会员服务
22+阅读 · 2021年12月3日
机器学习隐私综述论文,An Overview of Privacy in Machine Learning
机器学习隐私综述论文,An Overview of Privacy in Machine Learning
专知会员服务
81+阅读 · 2020年5月20日
【UCSD-MIT】深度学习隐私综述论文,Privacy in Deep Learning: A Survey
【UCSD-MIT】深度学习隐私综述论文,Privacy in Deep Learning: A Survey
专知会员服务
68+阅读 · 2020年4月28日
中科院信工所发布《深度学习系统的隐私与安全》综述论文,187篇文献总结
中科院信工所发布《深度学习系统的隐私与安全》综述论文,187篇文献总结
专知会员服务
103+阅读 · 2019年12月5日
热门VIP内容
相关资讯
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
【经典书】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页
专知
17+阅读 · 2022年4月16日
这个项目火了!各种深度学习架构,模型和技巧的集合
这个项目火了!各种深度学习架构,模型和技巧的集合
大数据技术
14+阅读 · 2019年6月13日
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
专知
79+阅读 · 2019年4月24日
AnDOSid - 适用于黑客的Android应用程序
AnDOSid - 适用于黑客的Android应用程序
黑白之道
11+阅读 · 2019年3月14日
被动DNS,一个被忽视的安全利器
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
Packet Sender - 免费的UDP和TCP网络测试实用程序(Android App)
黑白之道
25+阅读 · 2019年3月8日
Github项目推荐 | 基于 deepfakes (视频换脸)的非官方项目deepfakes_faceswap
Github项目推荐 | 基于 deepfakes (视频换脸)的非官方项目deepfakes_faceswap
AI研习社
10+阅读 · 2019年2月20日
GitHub项目推荐 | 深度抠图(Keras/TensorFlow/OpenCV) - Deep Image Matting
GitHub项目推荐 | 深度抠图(Keras/TensorFlow/OpenCV) - Deep Image Matting
AI研习社
70+阅读 · 2018年12月29日
资深算法工程师万宫玺:Java 工程师转型 AI 的秘密法宝——深度学习框架 Deeplearning4j | 分享总结
资深算法工程师万宫玺:Java 工程师转型 AI 的秘密法宝——深度学习框架 Deeplearning4j | 分享总结
AI研习社
11+阅读 · 2018年1月4日
Java 工程师转型 AI 的秘密法宝——深度学习框架 Deeplearning4j | 回顾
Java 工程师转型 AI 的秘密法宝——深度学习框架 Deeplearning4j | 回顾
AI研习社
11+阅读 · 2017年12月16日
相关论文
Quantifying Competitive Relationships Among Open-Source Software Projects
Arxiv
0+阅读 · 2月19日
Leveraging Language Models to Discover Evidence-Based Actions for OSS Sustainability
Arxiv
0+阅读 · 2月12日
Hidden Licensing Risks in the LLMware Ecosystem
Arxiv
0+阅读 · 2月11日
Predicting Open Source Software Sustainability with Deep Temporal Neural Hierarchical Architectures and Explainable AI
Arxiv
0+阅读 · 2月9日
Artificial Intelligence in Open Source Software Engineering: A Foundation for Sustainability
Arxiv
0+阅读 · 2月5日
Inference-Time Backdoors via Hidden Instructions in LLM Chat Templates
Arxiv
0+阅读 · 2月5日
Classport: Designing Runtime Dependency Introspection for Java
Arxiv
0+阅读 · 1月23日
Insecure Ingredients? Exploring Dependency Update Patterns of Bundled JavaScript Packages on the Web
Arxiv
0+阅读 · 1月23日
Community Engagement and the Lifespan of Open-Source Software Projects
Arxiv
0+阅读 · 1月22日
Governance Matters: Lessons from Restructuring the data.table OSS Project
Arxiv
0+阅读 · 1月19日
相关基金
移动互联网的用户隐私保护研究
国家自然科学基金
2+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
即时通信中的隐蔽通信模型及方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
数据流发布中的隐私保护理论和方法研究
国家自然科学基金
7+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
拒绝服务攻击下的信息物理系统安全理论研究
国家自然科学基金
4+阅读 · 2015年12月31日
Android移动终端多语种基础软件组合的安全技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top