[论文] 谁说了 CVE？漏洞标识符在拉取请求中被人类、机器人和代理如何提及

Source: arXiv - 2601.19636v1

概览

漏洞标识符（如 CVE、CWE 和 GHSA）是已知软件安全问题的标准化引用，但它们在实际中的使用情况尚不清楚。本文比较了在 GitHub 拉取请求（pull request）中，由自主代理、机器人和人类开发者编写的漏洞 ID 使用情况。使用 AIDev pop 数据集以及同一仓库的扩展拉取请求集合，我们分析了谁提及漏洞标识符以及它们出现的位置。机器人约占所有提及的 69.1 %，通常只在拉取请求描述中添加少量标识符，而人类和代理的提及更少见但分布更广。定性分析表明，机器人主要在自动化依赖更新和审计中引用标识符，而人类和代理则将其用于支持修复、维护和讨论。

关键贡献

• cs.SE

方法论

有关详细方法，请参阅完整论文。

实际意义

本研究有助于推动 cs.SE 的发展。

作者

• Pien Rooijendijk
• Christoph Treude
• Mairieli Wessel

论文信息

• arXiv ID: 2601.19636v1
• 分类: cs.SE
• 出版日期: 2026 年 1 月 27 日
• PDF: Download PDF