ترجمه فارسی مقاله ARVO: اطلس آسیب‌پذیری‌های قابل تکثیر برای نرم‌افزارهای متن‌باز

چکیده

High-quality datasets of real-world vulnerabilities are enormously valuable for downstream research in software security, but existing datasets are typically small, require extensive manual effort to update, and are missing crucial features that such research needs. In this paper, we introduce ARVO: an Atlas of Reproducible Vulnerabilities in Open-source software. By sourcing vulnerabilities from C/C++ projects that Google’s OSS-Fuzz discovered and implementing a reliable re-compilation system, we successfully reproduce more than 5,000 memory vulnerabilities across over 250 projects, each with a triggering input, the canonical developer-written patch for fixing the vulnerability, and the ability to automatically rebuild the project from source and run it at its vulnerable and patched revisions. Moreover, our dataset can be automatically updated as OSS-Fuzz finds new vulnerabilities, allowing it to grow over time. We provide a thorough characterization of the ARVO dataset, show that it can locate fixes more accurately than Google’s own OSV reproduction effort, and demonstrate its value for future research through two case studies: firstly evaluating real-world LLM-based vulnerability repair, and secondly identifying over 300 falsely patched (still-active) zero-day vulnerabilities from projects improperly labeled by OSS-Fuzz.

چکیده به فارسی (ترجمه ماشینی)

مجموعه داده های با کیفیت بالا از آسیب پذیری های دنیای واقعی برای تحقیقات پایین دست در امنیت نرم افزار بسیار ارزشمند است ، اما مجموعه داده های موجود به طور معمول کوچک هستند ، به تلاش های گسترده دستی برای به روزرسانی نیاز دارند و ویژگی های اساسی را که چنین تحقیقاتی نیاز دارند ، از دست نمی دهند.در این مقاله ، ARVO را معرفی می کنیم: اطلس آسیب پذیری های قابل تکرار در نرم افزار منبع باز.ما با تهیه آسیب پذیری از پروژه های C/C ++ که OSS-Fuzz Google کشف و اجرای یک سیستم قابل اعتماد برای تولید مجدد ، ما با موفقیت بیش از 5،000 آسیب پذیری حافظه را در بیش از 250 پروژه تولید می کنیم ، هر کدام دارای یک ورودی محرک ، وصله ای برای توسعه دهنده متعارف برای رفع مشکل هستند.آسیب پذیری و توانایی بازسازی خودکار پروژه از منبع و اجرای آن در اصلاحات آسیب پذیر و وصله شده آن.علاوه بر این ، مجموعه داده ما می تواند به طور خودکار به روز شود زیرا OSS-Fuzz آسیب پذیری های جدیدی را پیدا می کند و به آن اجازه می دهد تا با گذشت زمان رشد کند.ما توصیف کاملی از مجموعه داده ARVO ارائه می دهیم ، نشان می دهد که می تواند با دقت بیشتری از تلاش برای تولید مثل OSV خود Google را پیدا کند و ارزش آن را برای تحقیقات آینده از طریق دو مطالعه موردی نشان دهد: اولاً ارزیابی ترمیم آسیب پذیری مبتنی بر LLM در دنیای واقعی ، و ثانیاشناسایی بیش از 300 آسیب پذیری به دروغ (هنوز فعال) صفر از پروژه هایی که به طور نامناسب توسط OSS-Fuzz برچسب گذاری شده اند.