近年来,随着DevOps模式的全面普及,软件迭代速度大幅提升,CI/CD(持续集成/持续部署)流水线已成为全球科技企业研发体系的标配,与此同时,分散在多轮代码提交中的隐蔽累积型漏洞,逐渐成为软件供应链安全的新风险点。当前主流集成在CI流程中的静态安全检测工具普遍采用单提交扫描逻辑,仅针对单次提交的代码变更做风险特征匹配,无法关联多提交的上下文代码逻辑,导致这类由多个看似完全良性的提交共同触发的漏洞检出率长期处于较低水平,是全球软件安全领域亟需解决的共性痛点。
2026年4月24日,独立研究员Arunabh Majumdar在arXiv平台首发的CrossCommitVuln-Bench数据集,正是瞄准这一行业痛点打造的专业漏洞基准数据集。据介绍,CrossCommitVuln-Bench是专门面向Python语言的漏洞基准数据集,所有样本均来自GitHub安全公告数据库,经过多轮严格筛选,仅收录需由多个无明显风险特征的提交共同触发的真实漏洞,最终包含15个来自真实商业项目的多提交漏洞链样本。为了提升数据集的产业参考价值,研究人员对每个样本都做了精细化手动标注,覆盖对应CVE的完整贡献提交链、漏洞形成的核心成因,以及多款主流静态分析工具的实际检测结果,其中最值得关注的标注结论显示:87%的多提交漏洞链在传统单提交扫描模式下完全无法被检测,直接验证了当前主流安全检测能力在这类隐蔽漏洞场景下的明显短板。
作为业内少有的聚焦跨提交漏洞场景的标准化基准数据集,CrossCommitVuln-Bench的应用价值覆盖学术研究、产业落地多个维度:在技术研究层面,可作为统一评估基准用于校验各类跨提交漏洞检测工具的准确率、召回率,推动持续集成系统中安全状态持久化、跨提交代码逻辑关联分析等前沿技术的迭代;在产业落地层面,可作为训练样本用于优化AI驱动的智能漏洞检测模型,提升大模型对隐蔽累积型漏洞的上下文识别能力,也可作为企业DevSecOps团队的安全培训素材,帮助研发人员理解多提交漏洞的形成机制,从编码源头降低这类高隐蔽性漏洞的出现概率。
该数据集的发布,填补了跨提交漏洞检测领域标准化基准数据不足的行业空白,对于完善软件供应链全链路安全防护体系、推动安全左移战略落地、促进数据要素在网络安全产业的价值释放都具有重要的参考意义。
详情页内容:
_1769672084863.jpg)