[Paper] 누가 CVE라고 말했는가? 취약점 식별자가 인간, 봇, 에이전트에 의해 풀 리퀘스트에서 어떻게 언급되는가

Source: arXiv - 2601.19636v1

개요

CVE, CWE, GHSA와 같은 취약점 식별자는 알려진 소프트웨어 보안 문제에 대한 표준화된 참조이지만, 실제 사용 현황은 잘 알려져 있지 않다. 본 논문은 자율 에이전트, 봇, 인간 개발자가 작성한 GitHub 풀 리퀘스트에서 취약점 ID 사용을 비교한다. AIDev pop 데이터셋과 동일한 저장소에서 추출한 확장된 풀 리퀘스트 집합을 활용해 누가 취약점 식별자를 언급하고 그것이 어디에 나타나는지 분석한다. 봇은 전체 언급의 약 69.1 %를 차지하며, 주로 풀 리퀘스트 설명에 소수의 식별자를 추가한다. 반면 인간과 에이전트의 언급은 드물지만 더 다양한 위치에 걸쳐 나타난다. 정성적 분석 결과, 봇은 주로 자동 의존성 업데이트와 감사 과정에서 식별자를 참조하는 반면, 인간과 에이전트는 수정, 유지보수, 토론을 지원하기 위해 이를 활용한다.

주요 기여

• cs.SE

방법론

자세한 방법론은 전체 논문을 참고하십시오.

실용적 시사점

이 연구는 cs.SE 분야의 발전에 기여한다.

저자

• Pien Rooijendijk
• Christoph Treude
• Mairieli Wessel

논문 정보

• arXiv ID: 2601.19636v1
• 카테고리: cs.SE
• 발표일: 2026년 1월 27일
• PDF: Download PDF