論文の概要: Understanding and Remediating Open-Source License Incompatibilities in the PyPI Ecosystem

• arxiv url: http://arxiv.org/abs/2308.05942v1
• Date: Fri, 11 Aug 2023 04:57:54 GMT
• ステータス: 処理完了
• システム内更新日: 2023-10-23 14:42:43.035196
• Title: Understanding and Remediating Open-Source License Incompatibilities in the PyPI Ecosystem
• Title（参考訳）: PyPIエコシステムにおけるオープンソースライセンスの非互換性の理解と更新
• Authors: Weiwei Xu, Hao He, Kai Gao, Minghui Zhou
• Abstract要約: 我々は,PyPIエコシステムにおけるライセンス不適合性とその修復の実践について,大規模な実証的研究を行っている。 SILENCEは,パッケージ依存グラフにおいて,最小限のコストでライセンス不互換性の修復を推奨するためのSMT-solverベースのアプローチである。
• 参考スコア（独自算出の注目度）: 29.898303568884227
• License: http://creativecommons.org/licenses/by-nc-sa/4.0/
• Abstract: The reuse and distribution of open-source software must be in compliance with its accompanying open-source license. In modern packaging ecosystems, maintaining such compliance is challenging because a package may have a complex multi-layered dependency graph with many packages, any of which may have an incompatible license. Although prior research finds that license incompatibilities are prevalent, empirical evidence is still scarce in some modern packaging ecosystems (e.g., PyPI). It also remains unclear how developers remediate the license incompatibilities in the dependency graphs of their packages (including direct and transitive dependencies), let alone any automated approaches. To bridge this gap, we conduct a large-scale empirical study of license incompatibilities and their remediation practices in the PyPI ecosystem. We find that 7.27% of the PyPI package releases have license incompatibilities and 61.3% of them are caused by transitive dependencies, causing challenges in their remediation; for remediation, developers can apply one of the five strategies: migration, removal, pinning versions, changing their own licenses, and negotiation. Inspired by our findings, we propose SILENCE, an SMT-solver-based approach to recommend license incompatibility remediations with minimal costs in package dependency graph. Our evaluation shows that the remediations proposed by SILENCE can match 19 historical real-world cases (except for migrations not covered by an existing knowledge base) and have been accepted by five popular PyPI packages whose developers were previously unaware of their license incompatibilities.
• Abstract（参考訳）: オープンソースソフトウェアの再利用と配布は、付随するオープンソースライセンスに従わなければならない。 現代のパッケージエコシステムでは、パッケージが多数のパッケージを持つ複雑な多層依存性グラフを持つ可能性があるため、このようなコンプライアンスの維持は困難である。 以前の研究ではライセンスの非互換性が一般的であることが判明しているが、現代の包装エコシステム(例えばpypi)では、実証的な証拠は依然として乏しい。 また、開発者がパッケージの依存性グラフ(直接および推移的な依存関係を含む)のライセンスの非互換性をいかに改善するかは、自動化されたアプローチを念頭に置いていない。 このギャップを埋めるため,我々はpypiエコシステムにおけるライセンス不適合性とその修復方法に関する大規模実証研究を行っている。 PyPIパッケージのリリースの7.27%はライセンスの不互換性があり、61.3%は過渡的な依存関係によって引き起こされ、修正の課題が生じる。修正のために、開発者は5つの戦略のうちの1つを適用できる:マイグレーション、削除、バージョンをピン留め、独自のライセンスの変更、交渉である。 SILENCEは, パッケージ依存グラフにおいて, 最小限のコストで, ライセンス不適合性修復を推奨するためのSMT-solverベースのアプローチである。 評価の結果,SILENCEが提案した修復は19の歴史的実世界の事例(既存の知識ベースでカバーされていないマイグレーションを除く)と一致し,これまでライセンスの不互換性を知らなかった5つのPyPIパッケージに受け入れられた。

関連論文リスト

• An Overview and Catalogue of Dependency Challenges in Open Source Software Package Registries [52.23798016734889]
  この記事では、OSSパッケージやライブラリに依存する依存関係関連の課題のカタログを提供する。 このカタログは、これらの課題を理解し、定量化し、克服するために行われた経験的研究に関する科学文献に基づいている。
  論文  参考訳（メタデータ） (2024-09-27T16:20:20Z)
• An Empirical Study on Package-Level Deprecation in Python Ecosystem [6.0347124337922144]
  広く採用されているプログラミング言語であるPythonは、広範囲で多様なサードパーティ製パッケージエコシステムで有名である。 Pythonエコシステム内のOSSパッケージのかなりの数は、メンテナンスが不十分で、機能やセキュリティの潜在的なリスクにつながっている。 本稿では,Pythonエコシステムにおけるパッケージレベルの非推奨事項の公表,受信,処理に関する現在の実践について検討する。
  論文  参考訳（メタデータ） (2024-08-19T18:08:21Z)
• Catch the Butterfly: Peeking into the Terms and Conflicts among SPDX Licenses [16.948633594354412]
  ソフトウェア開発におけるサードパーティライブラリ(TPL)は、モダンなソフトウェアの開発を加速している。 開発者は必然的にTPLのライセンスを侵害し、法的問題を引き起こす可能性がある。 幅広い主要なライセンスを含む高品質なライセンスデータセットが必要である。
  論文  参考訳（メタデータ） (2024-01-19T11:27:34Z)
• Less is More? An Empirical Study on Configuration Issues in Python PyPI Ecosystem [38.44692482370243]
  Pythonはオープンソースコミュニティで広く使われている。 サードパーティのライブラリは依存関係の衝突を引き起こす可能性があるため、研究者は依存関係の衝突検知器を開発する必要がある。 依存関係を自動的に推論する試みが実施された。
  論文  参考訳（メタデータ） (2023-10-19T09:07:51Z)
• Dependency Practices for Vulnerability Mitigation [4.710141711181836]
  npmエコシステムの450以上の脆弱性を分析し、依存するパッケージが脆弱なままである理由を理解します。 依存関係によって感染した20万以上のnpmパッケージを特定します。 私たちは9つの機能を使って、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築しています。
  論文  参考訳（メタデータ） (2023-10-11T19:48:46Z)
• LiResolver: License Incompatibility Resolution for Open Source Software [13.28021004336228]
  LiResolverは、オープンソースソフトウェアのライセンス不互換性問題を解決するための、きめ細かい、スケーラブルで柔軟なツールです。 総合的な実験ではLiResolverの有効性が示され、不整合問題の局所化には4.09%の偽陽性(FP)と0.02%の偽陰性(FN)が有効である。
  論文  参考訳（メタデータ） (2023-06-26T13:16:09Z)
• Analyzing Maintenance Activities of Software Libraries [65.268245109828]
  近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。 産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
  論文  参考訳（メタデータ） (2023-06-09T16:51:25Z)
• Quality-Based Conditional Processing in Multi-Biometrics: Application to Sensor Interoperability [63.05238390013457]
  2007年のバイオセキュリティ・マルチモーダル・アセスメント・キャンペーンにおいて,ATVS-UAM融合手法を品質ベースで評価し,評価を行った。 我々のアプローチは線形ロジスティック回帰に基づいており、融合したスコアはログライクな比率になる傾向にある。 その結果,提案手法はルールベースの核融合方式よりも優れていることがわかった。
  論文  参考訳（メタデータ） (2022-11-24T12:11:22Z)
• DIETERpy: a Python framework for The Dispatch and Investment Evaluation Tool with Endogenous Renewables [62.997667081978825]
  DIETERはオープンソースの電力セクターモデルであり、可変再生可能エネルギー源の非常に高いシェアで将来の設定を分析するように設計されている。 システム全体のコストを最小化し、様々な世代の固定および可変コスト、柔軟性、セクター結合オプションを含む。 我々は、GAMS(General Algebraic Modeling System)で記述された既存のモデルバージョンの上に構築されたDIETERpyを紹介し、それをPythonフレームワークで強化する。
  論文  参考訳（メタデータ） (2020-10-02T09:27:33Z)
• Implicit Distributional Reinforcement Learning [61.166030238490634]
  2つのディープジェネレータネットワーク(DGN)上に構築された暗黙の分布型アクター批判(IDAC) 半単純アクター (SIA) は、フレキシブルなポリシー分布を利用する。 我々は,代表的OpenAI Gym環境において,IDACが最先端のアルゴリズムより優れていることを観察する。
  論文  参考訳（メタデータ） (2020-07-13T02:52:18Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。