論文の概要: Vulnerability Propagation in Package Managers Used in iOS Development

• arxiv url: http://arxiv.org/abs/2305.10339v1
• Date: Wed, 17 May 2023 16:22:38 GMT
• ステータス: 処理完了
• システム内更新日: 2023-10-24 08:23:15.790108
• Title: Vulnerability Propagation in Package Managers Used in iOS Development
• Title（参考訳）: iOS開発で使用されるパッケージマネージャの脆弱性伝播
• Authors: Kristiina Rahkema, Dietmar Pfahl
• Abstract要約: 脆弱性はよく知られたライブラリでも見られる。 Swiftエコシステムのライブラリ依存ネットワークは、CocoaPods、Carthage、Swift Package Managerのライブラリを含んでいる。 公開脆弱性が報告されているほとんどのライブラリはCで記述されているが、公開脆弱性の最も大きな影響は、ネイティブiOS言語で記述されたライブラリから来ている。
• 参考スコア（独自算出の注目度）: 2.9280059958992286
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Although using third-party libraries is common practice when writing software, vulnerabilities may be found even in well-known libraries. Detected vulnerabilities are often fixed quickly in the library code. The easiest way to include these fixes in a dependent software application, is to update the used library version. Package managers provide automated solutions for updating library dependencies. However, library dependencies can have dependencies to other libraries resulting in a dependency network with several levels of indirections. Assessing vulnerability risks induced by dependency networks is a non-trivial task for software developers. The library dependency network in the Swift ecosystem encompasses libraries from CocoaPods, Carthage and Swift Package Manager. We analysed how vulnerabilities propagate in the library dependency network of the Swift ecosystem, how vulnerable dependencies could be fixed via dependency upgrades, and if third party vulnerability analysis could be made more precise given public information on these vulnerabilities. We found that only 5.9% of connected libraries had a direct or transitive dependency to a vulnerable library. Although we found that most libraries with publicly reported vulnerabilities are written in C, the highest impact of publicly reported vulnerabilities originated from libraries written in native iOS languages. We found that around 30% of vulnerable dependencies could have been fixed via upgrading the library dependency. In case of critical vulnerabilities and latest library versions, over 70% of vulnerable dependencies would have been fixed via a dependency upgrade. Lastly, we checked whether the analysis of vulnerable dependency use could be refined using publicly available information on the code location (method or class) of a reported vulnerability. We found that such information is not available most of the time.
• Abstract（参考訳）: ソフトウェアを書く場合、サードパーティのライブラリを使うのが一般的だが、よく知られたライブラリでも脆弱性を見つけることができる。 検出された脆弱性は、しばしばライブラリコードで素早く修正される。 これらの修正を依存するソフトウェアアプリケーションに組み込む最も簡単な方法は、使用済みライブラリのバージョンを更新することです。 パッケージマネージャは、ライブラリの依存関係を更新するための自動ソリューションを提供する。 しかし、ライブラリ依存は他のライブラリへの依存を持ち、いくつかの間接レベルを持つ依存ネットワークとなる。 依存関係ネットワークによって引き起こされる脆弱性リスクの評価は、ソフトウェア開発者にとって非自明な作業である。 Swiftエコシステムのライブラリ依存ネットワークは、CocoaPods、Carthage、Swift Package Managerのライブラリを含んでいる。 Swiftエコシステムのライブラリ依存性ネットワークにおける脆弱性の伝播方法、依存関係のアップグレードによる脆弱性依存関係の修正方法、これらの脆弱性に関する公開情報からサードパーティの脆弱性分析をより正確にできるかどうか、などを分析しました。 接続されたライブラリの5.9%が,脆弱なライブラリに直接あるいは推移的に依存していることが分かりました。 公に報告された脆弱性を持つほとんどのライブラリはcで記述されているが、公に報告された脆弱性の最も大きな影響は、ネイティブios言語で書かれたライブラリにある。 脆弱性のある依存関係の約30%は、ライブラリの依存関係をアップグレードすることで修正できることが分かった。 重大な脆弱性や最新のライブラリバージョンの場合、70%以上の脆弱性のある依存関係は、依存関係のアップグレードによって修正される。 最後に、報告された脆弱性のコード位置(メソッドまたはクラス)の公開情報を使用して、脆弱な依存性使用の分析を洗練できるかどうかを確認した。 このような情報はほとんどの場合、利用できないことが分かりました。

関連論文リスト

• A Preliminary Study on Self-Contained Libraries in the NPM Ecosystem [2.221643499902673]
  現代のソフトウェアエコシステムにおけるライブラリの普及は、依存関係の複雑なネットワークを生み出します。 依存関係がゼロのライブラリは自己完結型になる。 本稿では,NPMエコシステムにおける自己完結型ライブラリの特徴について考察する。
  論文  参考訳（メタデータ） (2024-06-17T09:33:49Z)
• See to Believe: Using Visualization To Motivate Updating Third-party Dependencies [1.7914660044009358]
  サードパーティの依存関係を使用したアプリケーションによって導入されたセキュリティ脆弱性が増加している。 開発者はライブラリのアップデートに注意を払っており、脆弱性の修正にも注意している。 本稿では、依存性グラフ可視化(DGV)アプローチが、開発者が更新を動機付けると仮定する。
  論文  参考訳（メタデータ） (2024-05-15T03:57:27Z)
• Analyzing the Accessibility of GitHub Repositories for PyPI and NPM Libraries [91.97201077607862]
  産業アプリケーションはオープンソースソフトウェア(OSS)ライブラリに大きく依存しており、様々な利点を提供している。 このようなコミュニティの活動を監視するには、エコシステムのライブラリの包括的なリポジトリのリストにアクセスしなければなりません。 本研究では、PyPIライブラリとNPMライブラリのGitHubリポジトリのアクセシビリティを分析する。
  論文  参考訳（メタデータ） (2024-04-26T13:27:04Z)
• Dependency Practices for Vulnerability Mitigation [4.710141711181836]
  npmエコシステムの450以上の脆弱性を分析し、依存するパッケージが脆弱なままである理由を理解します。 依存関係によって感染した20万以上のnpmパッケージを特定します。 私たちは9つの機能を使って、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築しています。
  論文  参考訳（メタデータ） (2023-10-11T19:48:46Z)
• Identifying Vulnerable Third-Party Java Libraries from Textual Descriptions of Vulnerabilities and Libraries [15.573551625937556]
  VulLibMinerは、脆弱性とライブラリの両方のテキスト記述から、脆弱性のあるライブラリを最初に識別する。 VulLibMinerの評価には,VeraJavaというデータセットと当社のVulLibデータセットの両方で脆弱性のあるライブラリを識別する,最先端/実践の4つのアプローチを用いる。
  論文  参考訳（メタデータ） (2023-07-17T02:54:07Z)
• Analyzing Maintenance Activities of Software Libraries [65.268245109828]
  近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。 産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
  論文  参考訳（メタデータ） (2023-06-09T16:51:25Z)
• On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
  Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。 検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
  論文  参考訳（メタデータ） (2023-06-08T20:14:46Z)
• Analysis of Library Dependency Networks of Package Managers Used in iOS Development [3.46067608522128]
  Swiftエコシステムのライブラリ依存ネットワークは、CocoaPods、Carthage、Swift Package Manager(PM)のライブラリを含んでいる。 CocoaPodsは、最大のライブラリセットを持つパッケージマネージャであるが、他のパッケージマネージャとの違いは、期待ほど大きくはない。 Swift PMはますます人気を集めており、結果として他の2つのパッケージマネージャの成長が徐々に鈍化している。
  論文  参考訳（メタデータ） (2023-05-18T12:14:19Z)
• SequeL: A Continual Learning Library in PyTorch and JAX [50.33956216274694]
  SequeLは継続学習のためのライブラリで、PyTorchとJAXフレームワークの両方をサポートする。 それは、正規化ベースのアプローチ、リプレイベースのアプローチ、ハイブリッドアプローチを含む、幅広い連続学習アルゴリズムのための統一インターフェースを提供する。 私たちはSequeLをオープンソースライブラリとしてリリースし、研究者や開発者が自身の目的で簡単にライブラリを実験し拡張することができます。
  論文  参考訳（メタデータ） (2023-04-21T10:00:22Z)
• Code Librarian: A Software Package Recommendation System [65.05559087332347]
  オープンソースライブラリ用のリコメンデーションエンジンであるLibrarianを提示する。 1)プログラムのインポートライブラリで頻繁に使用されること、2)プログラムのインポートライブラリと似た機能を持つこと、3)開発者の実装と似た機能を持つこと、4)提供されるコードのコンテキストで効率的に使用できること、である。
  論文  参考訳（メタデータ） (2022-10-11T12:30:05Z)
• Repro: An Open-Source Library for Improving the Reproducibility and Usability of Publicly Available Research Code [74.28810048824519]
  Reproは、研究コードのユーザビリティ向上を目的とした、オープンソースのライブラリである。 Dockerコンテナ内で研究者がリリースしたソフトウェアを実行するための軽量Python APIを提供する。
  論文  参考訳（メタデータ） (2022-04-29T01:54:54Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。