論文の概要: An Empirical Study on Workflows and Security Policies in Popular GitHub
Repositories
- arxiv url: http://arxiv.org/abs/2305.16120v1
- Date: Thu, 25 May 2023 14:52:23 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-24 05:36:39.636715
- Title: An Empirical Study on Workflows and Security Policies in Popular GitHub
Repositories
- Title(参考訳): 人気のgithubリポジトリにおけるワークフローとセキュリティポリシーに関する実証的研究
- Authors: Jessy Ayala and Joshua Garcia
- Abstract要約: オープンソースプロジェクトでは、誰でもコントリビュートできるので、アクティブな継続的インテグレーションと継続的デリバリ(CI/CD)パイプラインを持つことが重要です。
これらのプロジェクトの多くはGitHubにホストされており、メンテナが自動セキュリティポリシを作成することができる。
私たちはスター数に基づいてGitHubとセキュリティポリシーを何千もの人気のあるリポジトリで測定します。
- 参考スコア(独自算出の注目度): 9.048328480295224
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: In open-source projects, anyone can contribute, so it is important to have an
active continuous integration and continuous delivery (CI/CD) pipeline in
addition to a protocol for reporting security concerns, especially in projects
that are widely used and belong to the software supply chain. Many of these
projects are hosted on GitHub, where maintainers can create automated workflows
using GitHub Actions, introduced in 2019, for inspecting proposed changes to
source code and defining a security policy for reporting vulnerabilities. We
conduct an empirical study to measure the usage of GitHub workflows and
security policies in thousands of popular repositories based on the number of
stars. After querying the top one-hundred and top one-thousand repositories
from all 181 trending GitHub topics, and the top 4,900 overall repositories,
totaling just over 173 thousand projects, we find that 37% of projects have
workflows enabled and 7% have a security policy in place. Using the top 60
repositories from each of the 34 most popular programming languages on GitHub,
2,040 projects total, we find that 57% of projects have workflows enabled and
17% have a security policy in place. Furthermore, from those top repositories
that have support for GitHub CodeQL static analysis, which performs bug and
vulnerability checks, only 13.5% have it enabled; in fact, we find that only
1.7% of the top repositories using Kotlin have an active CodeQL scanning
workflow. These results highlight that open-source project maintainers should
prioritize configuring workflows, enabling automated static analysis whenever
possible, and defining a security policy to prevent vulnerabilities from being
introduced or remaining in source code.
- Abstract(参考訳): オープンソースプロジェクトでは、誰でもコントリビュートできるので、特にソフトウェアサプライチェーンに広く使用されているプロジェクトにおいて、セキュリティ上の懸念を報告するためのプロトコルに加えて、アクティブな継続的インテグレーションと継続的デリバリ(CI/CD)パイプラインを持つことが重要です。
これらのプロジェクトの多くはgithubにホストされており、2019年に導入されたgithub actionsを使用して、ソースコードの変更提案を検査し、脆弱性を報告するためのセキュリティポリシを定義することで、メンテナが自動化ワークフローを作成することができる。
我々は、スター数に基づいて、何千もの人気のあるリポジトリでgithubワークフローとセキュリティポリシーの使用率を測定するための実証的な調査を行っています。
トップ1のhundredとトップ1のリポジトリをgithubのトピック181とトップ4,900のリポジトリからクエリした結果、合計173万以上のプロジェクトから、プロジェクトの37%にワークフローが有効になり、7%がセキュリティポリシが設定されていることが分かりました。
GitHub上の34のプログラミング言語のうち、合計2,040のプロジェクトのトップ60リポジトリを使って、プロジェクトの57%がワークフローを有効にし、17%がセキュリティポリシーを定めていることがわかった。
さらに、バグと脆弱性チェックを実行するGitHub CodeQL静的解析をサポートするトップリポジトリからは、有効になったのは13.5%に過ぎません。
これらの結果は、オープンソースプロジェクトのメンテナがワークフローの構成を優先し、可能な限り自動静的解析を可能にし、脆弱性がソースコードに導入または残らないようにセキュリティポリシーを定義するべきであることを強調する。
関連論文リスト
- How to Understand Whole Software Repository? [64.19431011897515]
リポジトリ全体に対する優れた理解は、自動ソフトウェアエンジニアリング(ASE)への重要な道になるでしょう。
本研究では,リポジトリ全体を包括的に理解するためのエージェントによるRepoUnderstanderという新しい手法を開発した。
リポジトリレベルの知識をより活用するために、エージェントをまとめ、分析し、計画する。
論文 参考訳(メタデータ) (2024-06-03T15:20:06Z) - Analyzing the Accessibility of GitHub Repositories for PyPI and NPM Libraries [91.97201077607862]
産業アプリケーションはオープンソースソフトウェア(OSS)ライブラリに大きく依存しており、様々な利点を提供している。
このようなコミュニティの活動を監視するには、エコシステムのライブラリの包括的なリポジトリのリストにアクセスしなければなりません。
本研究では、PyPIライブラリとNPMライブラリのGitHubリポジトリのアクセシビリティを分析する。
論文 参考訳(メタデータ) (2024-04-26T13:27:04Z) - RepoAgent: An LLM-Powered Open-Source Framework for Repository-level
Code Documentation Generation [79.83270415843857]
コードドキュメンテーションを積極的に生成、保守、更新することを目的とした、大規模な言語モデルによるオープンソースフレームワークであるRepoAgentを紹介します。
RepoAgentは高品質なリポジトリレベルのドキュメントを生成するのに優れています。
論文 参考訳(メタデータ) (2024-02-26T15:39:52Z) - GitAgent: Facilitating Autonomous Agent with GitHub by Tool Extension [81.44231422624055]
さまざまなタスクを実行できる外部ツールを備えた大規模言語モデル(LLM)に焦点が当てられている。
本稿では,GitHubから自動ツール拡張を実現するエージェントであるGitAgentを紹介する。
論文 参考訳(メタデータ) (2023-12-28T15:47:30Z) - Exploring Security Practices in Infrastructure as Code: An Empirical
Study [54.669404064111795]
クラウドコンピューティングは、Infrastructure as Code (IaC)ツールが広く使われていることで人気を博している。
スクリプティングプロセスは、実践者が自動的に設定ミスや脆弱性、プライバシリスクを導入するのを防ぐものではない。
セキュリティの確保は、実践者が明確な方針、ガイドライン、ベストプラクティスを理解し、採用することに依存する。
論文 参考訳(メタデータ) (2023-08-07T23:43:32Z) - The GitHub Development Workflow Automation Ecosystems [47.818229204130596]
大規模なソフトウェア開発は、非常に協力的な取り組みになっています。
この章では、開発ボットとGitHub Actionsのエコシステムについて解説する。
この領域における最先端技術に関する広範な調査を提供する。
論文 参考訳(メタデータ) (2023-05-08T15:24:23Z) - Detecting Security Patches via Behavioral Data in Code Repositories [11.052678122289871]
Gitリポジトリ内の開発者動作のみを使用して,セキュリティパッチを自動的に識別するシステムを示す。
秘密のセキュリティパッチを88.3%、F1スコア89.8%で公開できることを示しました。
論文 参考訳(メタデータ) (2023-02-04T06:43:07Z) - Automatically Categorising GitHub Repositories by Application Domain [14.265666415804025]
GitHubは、インターネット上で最大のオープンソースソフトウェアホストである。
幅広いドメインにまたがるリポジトリの多さをナビゲートするのはますます困難になっている。
過去の研究によると、アプリケーションドメインを考慮に入れることは、リポジトリの人気を予測するといったタスクに不可欠である。
論文 参考訳(メタデータ) (2022-07-30T16:27:16Z) - GitRank: A Framework to Rank GitHub Repositories [0.0]
オープンソースリポジトリは豊富な情報を提供し、人工知能(AI)ベースのシステムの構築にますます利用されている。
このハッカソンでは、既知のコード品質測定とGrimoireLabツールキットを使用して、GitRankという名前のフレームワークを実装し、オープンソースのリポジトリを3つの異なる基準でランク付けします。
論文 参考訳(メタデータ) (2022-05-04T23:42:30Z) - LabelGit: A Dataset for Software Repositories Classification using
Attributed Dependency Graphs [11.523471275501857]
LabelGitと呼ばれるGitHubプロジェクトの新しいデータセットを作成します。
私たちのデータセットは、依存関係グラフや識別子からのソースコードニューラル表現など、ソースコードからの直接的な情報を使用します。
プロキシに頼らず、ソースコード全体を分類するために使用するソリューションの開発を支援することを願っています。
論文 参考訳(メタデータ) (2021-03-16T07:28:58Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。