論文の概要: Lessons from the Long Tail: Analysing Unsafe Dependency Updates across Software Ecosystems

• arxiv url: http://arxiv.org/abs/2309.04197v1
• Date: Fri, 8 Sep 2023 08:17:09 GMT
• ステータス: 翻訳完了
• システム内更新日: 2023-10-23 08:22:42.252572
• Title: Lessons from the Long Tail: Analysing Unsafe Dependency Updates across Software Ecosystems
• Title（参考訳）: ロングテールからの教訓:ソフトウェアエコシステム全体の安全でない依存関係の更新を分析する
• Authors: Supatsara Wattanakriengkrai, Raula Gaikovina Kula, Christoph Treude, Kenichi Matsumoto
• Abstract要約: 人口88,416人のプルリクエスト(PR)から得られた3つの代表サンプルに基づく予備データを示す。 安全でない依存関係の更新(すなわち、実行時に安全でないリスクのあるプルリクエスト)を特定します。 これには、トップクラスのライブラリだけでなく、エコシステム全体において、安全でない依存関係更新に対処するためのベストプラクティスの開発が含まれる。
• 参考スコア（独自算出の注目度）: 11.461455369774765
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: A risk in adopting third-party dependencies into an application is their potential to serve as a doorway for malicious code to be injected (most often unknowingly). While many initiatives from both industry and research communities focus on the most critical dependencies (i.e., those most depended upon within the ecosystem), little is known about whether the rest of the ecosystem suffers the same fate. Our vision is to promote and establish safer practises throughout the ecosystem. To motivate our vision, in this paper, we present preliminary data based on three representative samples from a population of 88,416 pull requests (PRs) and identify unsafe dependency updates (i.e., any pull request that risks being unsafe during runtime), which clearly shows that unsafe dependency updates are not limited to highly impactful libraries. To draw attention to the long tail, we propose a research agenda comprising six key research questions that further explore how to safeguard against these unsafe activities. This includes developing best practises to address unsafe dependency updates not only in top-tier libraries but throughout the entire ecosystem.
• Abstract（参考訳）: アプリケーションにサードパーティの依存関係を採用するリスクは、悪意のあるコードを注入するための入り口として機能する可能性があることです。 産業と研究のコミュニティからの多くのイニシアチブは、最も重要な依存関係(すなわち、エコシステム内で最も依存しているもの)に焦点を当てているが、エコシステムの他の部分が同じ運命に苦しむかどうかについてはほとんど知られていない。 私たちのビジョンは、エコシステム全体で安全な実践を促進し、確立することにあります。 本稿では,本研究では,88,416件のプルリクエスト(prs)を対象とする3つの代表的サンプルに基づく予備データを提示し,安全でない依存関係更新(すなわち,実行時に安全でないリスクを負うプル要求)を特定することにより,依存関係更新の安全性が極めて高いライブラリに限定されないことを明確に示す。 ロングテールに注意を引くために,我々は,これらの安全でない活動に対する保護策をさらに探究する6つの重要な研究課題からなる研究課題を提案する。 これには、トップクラスのライブラリだけでなく、エコシステム全体にわたって、安全でない依存関係更新に対処するためのベストプラクティスの開発が含まれる。

関連論文リスト

• SafeMLRM: Demystifying Safety in Multi-modal Large Reasoning Models [50.34706204154244]
  推論能力の獲得は、引き継がれた安全アライメントを壊滅的に劣化させる。 特定のシナリオは、25倍の攻撃率を被る。 MLRMは、厳密な推論と問合せの安全結合にもかかわらず、初期段階の自己補正を示す。
  論文  参考訳（メタデータ） (2025-04-09T06:53:23Z)
• Out of Sight, Still at Risk: The Lifecycle of Transitive Vulnerabilities in Maven [0.3670008893193884]
  間接的な依存関係から生じる過渡的脆弱性は、共通脆弱性や露出に関連するリスクにプロジェクトを公開します。 我々は、CVE導入後のプロジェクトの露出時間を測定するためにサバイバル分析を採用している。 Mavenプロジェクトの大規模なデータセットを使用して、これらの脆弱性の解決に影響を及ぼす要因を特定します。
  論文  参考訳（メタデータ） (2025-04-07T07:54:15Z)
• Faster Releases, Fewer Risks: A Study on Maven Artifact Vulnerabilities and Lifecycle Management [0.14999444543328289]
  私たちは1万のMavenアーティファクトのリリース履歴を分析し、203,000以上のリリースと170万の依存関係をカバーしています。 以上の結果から,リリース速度と依存性の陳腐化との間には逆の関係が認められた。 これらの知見は、セキュリティリスクの低減におけるリリース戦略の加速の重要性を強調している。
  論文  参考訳（メタデータ） (2025-03-31T17:32:45Z)
• Decoding Dependency Risks: A Quantitative Study of Vulnerabilities in the Maven Ecosystem [1.5499426028105905]
  本研究では,Mavenエコシステム内の脆弱性を調査し,14,459,139リリースの包括的なデータセットを分析した。 Maven特有のリスクのある弱点を示し、時間が経つにつれてますます危険なものになっていることを強調します。 以上の結果から,入力の不適切な処理や資源の不正管理が最もリスクが高いことが示唆された。
  論文  参考訳（メタデータ） (2025-03-28T04:16:46Z)
• Pinning Is Futile: You Need More Than Local Dependency Versioning to Defend against Supply Chain Attacks [23.756533975349985]
  オープンソースソフトウェアにおける最近の顕著なインシデントは、ソフトウェアサプライチェーンの攻撃に実践者の注意を向けている。 セキュリティ実践者は、バージョン範囲に浮かぶのではなく、特定のバージョンへの依存性をピン留めすることを推奨する。 我々は,npmエコシステムにおけるバージョン制約のセキュリティとメンテナンスへの影響を,カウンターファクト分析とシミュレーションを通じて定量化する。
  論文  参考訳（メタデータ） (2025-02-10T16:50:48Z)
• Forecasting the risk of software choices: A model to foretell security vulnerabilities from library dependencies and source code evolution [4.538870924201896]
  図書館レベルでの脆弱性予測が可能なモデルを提案する。 我々のモデルは、将来の時間帯でソフトウェアプロジェクトがCVEの開示に直面する確率を推定することができる。
  論文  参考訳（メタデータ） (2024-11-17T23:36:27Z)
• On Security Weaknesses and Vulnerabilities in Deep Learning Systems [32.14068820256729]
  具体的には、ディープラーニング(DL)フレームワークについて検討し、DLシステムにおける脆弱性に関する最初の体系的な研究を行う。 各種データベースの脆弱性パターンを探索する2ストリームデータ分析フレームワークを提案する。 我々は,脆弱性のパターンと修正の課題をよりよく理解するために,3,049個のDL脆弱性を大規模に検討した。
  論文  参考訳（メタデータ） (2024-06-12T23:04:13Z)
• See to Believe: Using Visualization To Motivate Updating Third-party Dependencies [1.7914660044009358]
  サードパーティの依存関係を使用したアプリケーションによって導入されたセキュリティ脆弱性が増加している。 開発者はライブラリのアップデートに注意を払っており、脆弱性の修正にも注意している。 本稿では、依存性グラフ可視化(DGV)アプローチが、開発者が更新を動機付けると仮定する。
  論文  参考訳（メタデータ） (2024-05-15T03:57:27Z)
• A Survey of Third-Party Library Security Research in Application Software [3.280510821619164]
  サードパーティのライブラリが広く使われるようになると、関連するセキュリティリスクと潜在的な脆弱性がますます顕在化している。 悪意のある攻撃者は、これらの脆弱性を利用してシステムに侵入したり、不正な操作を行ったり、機密情報を盗んだりすることができる。 ソフトウェアにおけるサードパーティのライブラリの研究は、この増大するセキュリティ問題に対処する上で、最重要課題となる。
  論文  参考訳（メタデータ） (2024-04-27T16:35:02Z)
• PsySafe: A Comprehensive Framework for Psychological-based Attack, Defense, and Evaluation of Multi-agent System Safety [70.84902425123406]
  大規模言語モデル(LLM)で拡張されたマルチエージェントシステムは、集団知能において重要な能力を示す。 しかし、悪意のある目的のためにこのインテリジェンスを誤用する可能性があり、重大なリスクが生じる。 本研究では,エージェント心理学を基盤とした枠組み(PsySafe)を提案し,エージェントのダークパーソナリティ特性がリスク行動にどう影響するかを明らかにする。 実験の結果,エージェント間の集団的危険行動,エージェントが危険な行動を行う際の自己反射,エージェントの心理的評価と危険な行動との相関など,いくつかの興味深い現象が明らかになった。
  論文  参考訳（メタデータ） (2024-01-22T12:11:55Z)
• Safeguarded Progress in Reinforcement Learning: Safe Bayesian Exploration for Control Policy Synthesis [63.532413807686524]
  本稿では、強化学習(RL)におけるトレーニング中の安全維持の問題に対処する。 探索中の効率的な進捗と安全性のトレードオフを扱う新しいアーキテクチャを提案する。
  論文  参考訳（メタデータ） (2023-12-18T16:09:43Z)
• Dependency Practices for Vulnerability Mitigation [4.710141711181836]
  npmエコシステムの450以上の脆弱性を分析し、依存するパッケージが脆弱なままである理由を理解します。 依存関係によって感染した20万以上のnpmパッケージを特定します。 私たちは9つの機能を使って、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築しています。
  論文  参考訳（メタデータ） (2023-10-11T19:48:46Z)
• Robust Recommender System: A Survey and Future Directions [58.87305602959857]
  まず,悪質な攻撃や自然騒音に耐える現在の手法を整理するための分類法を提案する。 次に、不正検出、敵の訓練、悪意のある攻撃から守るための確実な堅牢な訓練など、各カテゴリにおける最先端の手法を検討する。 さまざまなレコメンデーションシナリオの堅牢性や,正確性や解釈可能性,プライバシ,公正性といった他の特性との相互作用について論じる。
  論文  参考訳（メタデータ） (2023-09-05T08:58:46Z)
• Analyzing Maintenance Activities of Software Libraries [65.268245109828]
  近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。 産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
  論文  参考訳（メタデータ） (2023-06-09T16:51:25Z)
• Evaluating Model-free Reinforcement Learning toward Safety-critical Tasks [70.76757529955577]
  本稿では、国家安全RLの観点から、この領域における先行研究を再考する。 安全最適化と安全予測を組み合わせた共同手法であるUnrolling Safety Layer (USL)を提案する。 この領域のさらなる研究を容易にするため、我々は関連するアルゴリズムを統一パイプラインで再現し、SafeRL-Kitに組み込む。
  論文  参考訳（メタデータ） (2022-12-12T06:30:17Z)
• Towards Safe Policy Improvement for Non-Stationary MDPs [48.9966576179679]
  多くの実世界の利害問題は非定常性を示し、利害関係が高ければ、偽の定常性仮定に関連するコストは受け入れがたい。 我々は、スムーズに変化する非定常的な意思決定問題に対して、高い信頼性で安全性を確保するための第一歩を踏み出します。 提案手法は,時系列解析を用いたモデルフリー強化学習の合成により,セルドンアルゴリズムと呼ばれる安全なアルゴリズムを拡張した。
  論文  参考訳（メタデータ） (2020-10-23T20:13:51Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。