XiaoMi-AI文件搜索系统
World File Search SystemSnyk
供应链基准领先工具比较
doyensec进行了三个流行的软件组成分析(SCA)工具(Semgrep,Snyk和Displyabot)的并排比较,以评估其能力,以正确地确定应用程序的第三方库,具有已知漏洞是否在该应用程序中确实引入了可利用的条件。这包括确认不仅包括脆弱的库版本,而且还包括公开披露中所述实际使用的脆弱功能或配置。需要高度准确性,以减少误报的总数,从而减少专业人员所需的整体分式分三名努力。通过手动分析,我们测量了真实和误报,并确定了安全团队来调查工具发现所需的努力水平。
开源软件的价值
作者感谢 Linux 基金会提供的资金和行政支持,如果没有这些支持,普查数据就无法获得。我们非常感谢哈佛商学院研究计算服务、哈佛创新科学实验室、Linux 基金会以及软件组成分析数据提供商 Snyk、Synopsys 网络安全研究中心和 FOSSA 的支持。我们感谢 Tianli Li 和 Misha Bouzinier 提供的出色研究协助。我们还感谢软件开发人员 Boris Martinovic 以及微软的 Rich Lander 和 Scott Hanselman 对 .NET 生态系统的见解。我们从哈佛商学院价值观和估值会议、哈佛商学院 D3 研究日和 2023 年管理学院会议的参与者那里得到了有益的反馈。
链条末尾的NPM软件包的初始分析
[3]基思·柯林斯(Keith Collins)。2016。一个程序员如何通过删除一小部分代码来打破互联网。https://qz.com/646467/how-ono-programmer-broke-the-internet-by-deleting-a- a-a-a-a-a-piece-a-piece-of-of-of-of-of [4] dalerka。 2020。 [病毒报告] -Clamtk在这个非常受欢迎的软件包中发现了“ pua.win.trojan.xord -1”。 https://github.com/jensyt/imurmurhash-js/issues/1 [5] Alexandre Decan,Tom Mens和Eleni Constantinou。 2018。 关于安全漏洞在NPM软件包依赖网络中的影响。 在MSR中。 ACM,纽约,纽约,美国,181-191。 [6]开源安全基金会。 2024。 alpha-Omega。 https://github.com/ossf/alpha-omega [7] Antonios Gkortzis,Daniel Feitosa和Diomidis Spinellis。 2019。 一把双刃剑? 软件重用和潜在的安全漏洞。 在大数据时代的再利用中:第18届软件和系统重用国际会议,ICSR 2019,俄亥俄州辛辛那提,俄亥俄州,美国,2019年6月26日至28日,会议记录18。 Springer,187–203。 [8] Raula Gaikovina Kula,Ali Ouni,Daniel M German和Katsuro Inoue。 2017。 对微包的影响:NPM JavaScript生态系统的实证研究。 Arxiv预印ARXIV:1709.04638(2017)。 [9] Raula Gaikovina Kula和Christoph Treude。 2022。 战争与和平:世界政治对软件生态系统的影响。 在esec/fse中。 1600–1604。 [10] Wayne C Lim。 1994。 对质量,生产力和经济学的重复使用影响。 2024。https://qz.com/646467/how-ono-programmer-broke-the-internet-by-deleting-a- a-a-a-a-a-piece-a-piece-of-of-of-of-of [4] dalerka。2020。[病毒报告] -Clamtk在这个非常受欢迎的软件包中发现了“ pua.win.trojan.xord -1”。https://github.com/jensyt/imurmurhash-js/issues/1 [5] Alexandre Decan,Tom Mens和Eleni Constantinou。2018。关于安全漏洞在NPM软件包依赖网络中的影响。在MSR中。ACM,纽约,纽约,美国,181-191。 [6]开源安全基金会。 2024。 alpha-Omega。 https://github.com/ossf/alpha-omega [7] Antonios Gkortzis,Daniel Feitosa和Diomidis Spinellis。 2019。 一把双刃剑? 软件重用和潜在的安全漏洞。 在大数据时代的再利用中:第18届软件和系统重用国际会议,ICSR 2019,俄亥俄州辛辛那提,俄亥俄州,美国,2019年6月26日至28日,会议记录18。 Springer,187–203。 [8] Raula Gaikovina Kula,Ali Ouni,Daniel M German和Katsuro Inoue。 2017。 对微包的影响:NPM JavaScript生态系统的实证研究。 Arxiv预印ARXIV:1709.04638(2017)。 [9] Raula Gaikovina Kula和Christoph Treude。 2022。 战争与和平:世界政治对软件生态系统的影响。 在esec/fse中。 1600–1604。 [10] Wayne C Lim。 1994。 对质量,生产力和经济学的重复使用影响。 2024。ACM,纽约,纽约,美国,181-191。[6]开源安全基金会。2024。alpha-Omega。https://github.com/ossf/alpha-omega [7] Antonios Gkortzis,Daniel Feitosa和Diomidis Spinellis。 2019。 一把双刃剑? 软件重用和潜在的安全漏洞。 在大数据时代的再利用中:第18届软件和系统重用国际会议,ICSR 2019,俄亥俄州辛辛那提,俄亥俄州,美国,2019年6月26日至28日,会议记录18。 Springer,187–203。 [8] Raula Gaikovina Kula,Ali Ouni,Daniel M German和Katsuro Inoue。 2017。 对微包的影响:NPM JavaScript生态系统的实证研究。 Arxiv预印ARXIV:1709.04638(2017)。 [9] Raula Gaikovina Kula和Christoph Treude。 2022。 战争与和平:世界政治对软件生态系统的影响。 在esec/fse中。 1600–1604。 [10] Wayne C Lim。 1994。 对质量,生产力和经济学的重复使用影响。 2024。https://github.com/ossf/alpha-omega [7] Antonios Gkortzis,Daniel Feitosa和Diomidis Spinellis。2019。一把双刃剑?软件重用和潜在的安全漏洞。在大数据时代的再利用中:第18届软件和系统重用国际会议,ICSR 2019,俄亥俄州辛辛那提,俄亥俄州,美国,2019年6月26日至28日,会议记录18。Springer,187–203。[8] Raula Gaikovina Kula,Ali Ouni,Daniel M German和Katsuro Inoue。2017。对微包的影响:NPM JavaScript生态系统的实证研究。Arxiv预印ARXIV:1709.04638(2017)。[9] Raula Gaikovina Kula和Christoph Treude。2022。战争与和平:世界政治对软件生态系统的影响。在esec/fse中。1600–1604。[10] Wayne C Lim。1994。对质量,生产力和经济学的重复使用影响。2024。IEEE软件11,5(1994),23–30。 [11] Xing Han Lu。 BM25用于Python:在用BM25s简化依赖性的同时,达到高性能。 https://huggingface.co/blog/xhluca/bm25s [12] sindresorhus。 2018。 路线图的想法。 https://github.com/chalk/chalk/issues/300 [13] sindresorhus.2021。 捆绑依赖项·粉笔/粉笔@04fdbd6。 https://github.com/chalk/chalk/commit/04fdbd6d8d262ed8668cf3f2e94f647d2bc028d8 [14] Snyk。 2024。MS漏洞。 https://security.snyk.io/package/npm/ms [15] Snyk。 2024。打字稿漏洞。 https://security.snyk.io/package/npm/typescript [16] OpenJS Foundation。 [n。 d。]。 node.js - NPM PackageManager的简介。 https://nodejs.org/en/learn/getting-started/an-introduction-to-the-the-npm-package-manager [17] theupsider。 2022。 请合并拉的请求。 https://github.com/jonschlinkert/is-number/issues/35 [18] Supatsara Wattanakriengkrai,Dong Wang,Raula Gaikovina Kula Kula,Christoph Treude,Patanamon Thongtanunam,Takashi Ishio Ishio和Kenichi Mat-sumoto。 2022。 回馈:与软件生态系统中库依赖性更改一致的贡献。 IEEE软件工程交易49,4(2022),2566–2579。 [19] yfrytchsgd。 2021。 github -yfrytchsgd/log4jattacksurface。 https://github.com/yfrytchsgd/log4jattacksurface [20] Markus Zimmermann,Cristian-Alexandru Staicu,Cam Tenny和Michael Pradel。 2019。 在第28届USENIX安全研讨会(USENIX SECurity 19)中。IEEE软件11,5(1994),23–30。[11] Xing Han Lu。BM25用于Python:在用BM25s简化依赖性的同时,达到高性能。https://huggingface.co/blog/xhluca/bm25s [12] sindresorhus。2018。路线图的想法。https://github.com/chalk/chalk/issues/300 [13] sindresorhus.2021。 捆绑依赖项·粉笔/粉笔@04fdbd6。 https://github.com/chalk/chalk/commit/04fdbd6d8d262ed8668cf3f2e94f647d2bc028d8 [14] Snyk。 2024。MS漏洞。 https://security.snyk.io/package/npm/ms [15] Snyk。 2024。打字稿漏洞。 https://security.snyk.io/package/npm/typescript [16] OpenJS Foundation。 [n。 d。]。 node.js - NPM PackageManager的简介。 https://nodejs.org/en/learn/getting-started/an-introduction-to-the-the-npm-package-manager [17] theupsider。 2022。 请合并拉的请求。 https://github.com/jonschlinkert/is-number/issues/35 [18] Supatsara Wattanakriengkrai,Dong Wang,Raula Gaikovina Kula Kula,Christoph Treude,Patanamon Thongtanunam,Takashi Ishio Ishio和Kenichi Mat-sumoto。 2022。 回馈:与软件生态系统中库依赖性更改一致的贡献。 IEEE软件工程交易49,4(2022),2566–2579。 [19] yfrytchsgd。 2021。 github -yfrytchsgd/log4jattacksurface。 https://github.com/yfrytchsgd/log4jattacksurface [20] Markus Zimmermann,Cristian-Alexandru Staicu,Cam Tenny和Michael Pradel。 2019。 在第28届USENIX安全研讨会(USENIX SECurity 19)中。https://github.com/chalk/chalk/issues/300 [13] sindresorhus.2021。捆绑依赖项·粉笔/粉笔@04fdbd6。https://github.com/chalk/chalk/commit/04fdbd6d8d262ed8668cf3f2e94f647d2bc028d8 [14] Snyk。2024。MS漏洞。https://security.snyk.io/package/npm/ms [15] Snyk。 2024。打字稿漏洞。 https://security.snyk.io/package/npm/typescript [16] OpenJS Foundation。 [n。 d。]。 node.js - NPM PackageManager的简介。 https://nodejs.org/en/learn/getting-started/an-introduction-to-the-the-npm-package-manager [17] theupsider。 2022。 请合并拉的请求。 https://github.com/jonschlinkert/is-number/issues/35 [18] Supatsara Wattanakriengkrai,Dong Wang,Raula Gaikovina Kula Kula,Christoph Treude,Patanamon Thongtanunam,Takashi Ishio Ishio和Kenichi Mat-sumoto。 2022。 回馈:与软件生态系统中库依赖性更改一致的贡献。 IEEE软件工程交易49,4(2022),2566–2579。 [19] yfrytchsgd。 2021。 github -yfrytchsgd/log4jattacksurface。 https://github.com/yfrytchsgd/log4jattacksurface [20] Markus Zimmermann,Cristian-Alexandru Staicu,Cam Tenny和Michael Pradel。 2019。 在第28届USENIX安全研讨会(USENIX SECurity 19)中。https://security.snyk.io/package/npm/ms [15] Snyk。2024。打字稿漏洞。https://security.snyk.io/package/npm/typescript [16] OpenJS Foundation。[n。 d。]。node.js - NPM PackageManager的简介。https://nodejs.org/en/learn/getting-started/an-introduction-to-the-the-npm-package-manager [17] theupsider。2022。请合并拉的请求。https://github.com/jonschlinkert/is-number/issues/35 [18] Supatsara Wattanakriengkrai,Dong Wang,Raula Gaikovina Kula Kula,Christoph Treude,Patanamon Thongtanunam,Takashi Ishio Ishio和Kenichi Mat-sumoto。2022。回馈:与软件生态系统中库依赖性更改一致的贡献。IEEE软件工程交易49,4(2022),2566–2579。[19] yfrytchsgd。2021。github -yfrytchsgd/log4jattacksurface。https://github.com/yfrytchsgd/log4jattacksurface [20] Markus Zimmermann,Cristian-Alexandru Staicu,Cam Tenny和Michael Pradel。2019。在第28届USENIX安全研讨会(USENIX SECurity 19)中。具有高风险的小世界:对NPM生态系统中安全威胁的研究。995–1010。
挑战机器学习算法在预测脆弱的JavaScript函数Rudolf Ferenc†,p´eter Hegedus ∗,p´eter gyimesi†,g´abor
摘要 - 网络犯罪活动的迅速上升以及受其威胁越来越多的设备将软件安全问题引起了人们的关注。由于所有攻击中约有90%利用已知类型的安全问题,因此寻找脆弱的综合和应用现有的缓解技术是与网络犯罪作斗争的可行实际方法。在本文中,我们研究了最新的机器学习技术(包括流行的深度学习算法)如何在预测JavaScript程序中可能具有安全性漏洞的功能方面执行。我们应用了8个机器学习算法来构建从节点安全项目和SNYK平台的公共数据库中为本研究构建的新数据集构建预测模型,并从GitHub中构建了代码修复补丁。我们使用静态源代码指标作为预测变量和广泛的网格搜索算法来找到最佳的性能模型。我们还研究了各种重新采样策略的影响,以处理数据集的不平衡性质。最佳性能算法是KNN,该算法为预测弱势函数的模型以0.76(0.91 Precision和0.66召回)的预测模型。此外,深度学习,基于树木和森林的分类器和SVM具有竞争力,其F-MEASERIORS超过0.70。尽管F-测量结果与重新采样策略没有很大差异,但精度和召回的分布确实发生了变化。似乎没有重新采样似乎会产生偏爱高精度的模型,而重新采样策略可以平衡IR措施。索引术语 - 泄气性,JavaScript,机器学习,深度学习,代码指标,数据集
Setter 30
Setter 30 - 要点我们很高兴介绍setter 30的Q1 2023版 - 我们对全球二级市场中最受欢迎的风险投资支持的公司的排名。这些排名是从对后期公司的500多家领先投资者以及我们从市场最活跃的买家那里收到的每日反馈的调查中精心策划的。虽然这30家公司是投资者最常针对的公司,但它们可能不是最容易获得的。某些公司的供应量可能有限(例如OpenAI和Servicetitan)或严格的转移限制(例如,Anduril,Databricks,Glaid,Reddit,SpaceX和Stripe),使次级交易更具挑战性。Stripe在本季度获得了#1的位置,自2020年第四季度以来一直保持最高位置。条纹兴趣的激增很大程度上是由于卖家最近的下跌(-47%)以及对2023年潜在IPO的期望的重组。SpaceX并不是唯一一家丢弃的太空技术公司 - 相对性空间,3D火箭制造商,在最近推出Terran1。Openai声称本季度的第三名是所有名称中最重要的飞跃(+15 Q/Q)。其核心产品CHATGPT的使用日益增长,并深深地相信AI技术的变革力量,促成了它们令人印象深刻的上升。CloudTech和Cybersecurity在本季度表现良好,鲁布里克(Rubrik)和斯奈克(Snyk)都活跃在两个垂直领域,并添加到列表中。FoodTech公司在本季度明显不存在。在网络安全公司中,CloudTech中有41个景点累积增加。Setter 30常客,Instacart和Grubmarket提供了杂货交付服务,没有放置。上升食品,一家耕种的肉类公司也从排名中脱颖而出。面对利率上升和市场波动,消费者可能会倾向于更具成本效益的购物和食品替代品。bytedance曾在30年代的最后几个二传手中,本季度未能排名。政治动荡和网络安全问题困扰着他们激烈的社交媒体应用程序Tiktok。这为在北美市场或公司重组的产品中造成了潜力,从而围绕公司的未来产生了不确定性。我们欢迎您对本版本30版的想法,很乐意解决您可能会有的任何询问!