VeriPort: 대규모 자동화 및 검증된 패치 백포팅 (Patch Backporting)

소프트웨어 공급망 (Software Supply Chain)을 보호하기 위한 핵심 과제 중 하나는 제3자 오픈소스 의존성 (Open-source dependencies)의 알려진 취약점을 해결하는 것입니다. 보안 패치는 종종 의존성의 최신 버전에 대해서만 제공되므로, 개발자는 최신 버전으로 업그레이드할 것인지(변경 사항으로 인한 중단 위험이 있음), 아니면 보안 수정 사항을 수동으로 백포팅 (Backporting)할 것인지 선택해야 하는 상황에 놓입니다. 기존 연구들은 사전에 지정되어야 하는 단일 버전으로만 백포팅을 수행하며, 해당 패치가 공격 (Exploitation)을 차단하고 기능을 유지한다는 것을 입증할 충분한 증거를 생성하지 못합니다. 본 논문에서는 특정 취약점 권고 (Vulnerability advisory)에 대한 패치를 패키지의 모든 영향받는 버전으로 확장 가능하게 백포팅하는 엔드 투 엔드 에이전트 시스템 (End-to-end agentic system)인 VeriPort를 제시합니다. 각 백포팅에 대해, VeriPort는 패치가 공격을 차단하고 의도된 동작을 유지함을 확인하기 위한 증거 체인 (Chain of evidence)을 구축합니다. VeriPort는 BackportBench의 128개 백포팅 작업 중 95.3%를 안정적으로 해결하였으며, 이는 기존의 가장 우수한 솔루션인 Claude Code보다 22.7%포인트 높은 성능입니다. 우리는 더 나아가 169개의 높음 및 심각한 수준의 CVE에 VeriPort를 배포하였으며, 5,000개 이상의 검증된 백포팅 패치를 생성했습니다. 또한, VeriPort의 가치는 단순히 패치를 백포팅하는 것을 넘어섭니다. VeriPort는 92개의 권고 사항에 걸쳐 영향받는 것으로 잘못 보고된 2,100개의 버전과 이전에 식별되지 않은 127개의 취약한 버전을 찾아냈으며, 이후 23개의 권고 사항이 387개 버전을 제거하고 81개를 추가함으로써 업스트림 (Upstream)에서 수정되었습니다.