論文の概要: Lessons from the Long Tail: Analysing Unsafe Dependency Updates across Software Ecosystems

• arxiv url: http://arxiv.org/abs/2309.04197v1
• Date: Fri, 8 Sep 2023 08:17:09 GMT
• ステータス: 処理完了
• システム内更新日: 2023-10-23 08:22:42.252572
• Title: Lessons from the Long Tail: Analysing Unsafe Dependency Updates across Software Ecosystems
• Title（参考訳）: ロングテールからの教訓:ソフトウェアエコシステム全体の安全でない依存関係の更新を分析する
• Authors: Supatsara Wattanakriengkrai, Raula Gaikovina Kula, Christoph Treude, Kenichi Matsumoto
• Abstract要約: 人口88,416人のプルリクエスト(PR)から得られた3つの代表サンプルに基づく予備データを示す。 安全でない依存関係の更新(すなわち、実行時に安全でないリスクのあるプルリクエスト)を特定します。 これには、トップクラスのライブラリだけでなく、エコシステム全体において、安全でない依存関係更新に対処するためのベストプラクティスの開発が含まれる。
• 参考スコア（独自算出の注目度）: 11.461455369774765
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: A risk in adopting third-party dependencies into an application is their potential to serve as a doorway for malicious code to be injected (most often unknowingly). While many initiatives from both industry and research communities focus on the most critical dependencies (i.e., those most depended upon within the ecosystem), little is known about whether the rest of the ecosystem suffers the same fate. Our vision is to promote and establish safer practises throughout the ecosystem. To motivate our vision, in this paper, we present preliminary data based on three representative samples from a population of 88,416 pull requests (PRs) and identify unsafe dependency updates (i.e., any pull request that risks being unsafe during runtime), which clearly shows that unsafe dependency updates are not limited to highly impactful libraries. To draw attention to the long tail, we propose a research agenda comprising six key research questions that further explore how to safeguard against these unsafe activities. This includes developing best practises to address unsafe dependency updates not only in top-tier libraries but throughout the entire ecosystem.
• Abstract（参考訳）: アプリケーションにサードパーティの依存関係を採用するリスクは、悪意のあるコードを注入するための入り口として機能する可能性があることです。 産業と研究のコミュニティからの多くのイニシアチブは、最も重要な依存関係(すなわち、エコシステム内で最も依存しているもの)に焦点を当てているが、エコシステムの他の部分が同じ運命に苦しむかどうかについてはほとんど知られていない。 私たちのビジョンは、エコシステム全体で安全な実践を促進し、確立することにあります。 本稿では,本研究では,88,416件のプルリクエスト(prs)を対象とする3つの代表的サンプルに基づく予備データを提示し,安全でない依存関係更新(すなわち,実行時に安全でないリスクを負うプル要求)を特定することにより,依存関係更新の安全性が極めて高いライブラリに限定されないことを明確に示す。 ロングテールに注意を引くために,我々は,これらの安全でない活動に対する保護策をさらに探究する6つの重要な研究課題からなる研究課題を提案する。 これには、トップクラスのライブラリだけでなく、エコシステム全体にわたって、安全でない依存関係更新に対処するためのベストプラクティスの開発が含まれる。

関連論文リスト

• Forecasting the risk of software choices: A model to foretell security vulnerabilities from library dependencies and source code evolution [4.538870924201896]
  図書館レベルでの脆弱性予測が可能なモデルを提案する。 我々のモデルは、将来の時間帯でソフトウェアプロジェクトがCVEの開示に直面する確率を推定することができる。
  論文  参考訳（メタデータ） (2024-11-17T23:36:27Z)
• On Security Weaknesses and Vulnerabilities in Deep Learning Systems [32.14068820256729]
  具体的には、ディープラーニング(DL)フレームワークについて検討し、DLシステムにおける脆弱性に関する最初の体系的な研究を行う。 各種データベースの脆弱性パターンを探索する2ストリームデータ分析フレームワークを提案する。 我々は,脆弱性のパターンと修正の課題をよりよく理解するために,3,049個のDL脆弱性を大規模に検討した。
  論文  参考訳（メタデータ） (2024-06-12T23:04:13Z)
• See to Believe: Using Visualization To Motivate Updating Third-party Dependencies [1.7914660044009358]
  サードパーティの依存関係を使用したアプリケーションによって導入されたセキュリティ脆弱性が増加している。 開発者はライブラリのアップデートに注意を払っており、脆弱性の修正にも注意している。 本稿では、依存性グラフ可視化(DGV)アプローチが、開発者が更新を動機付けると仮定する。
  論文  参考訳（メタデータ） (2024-05-15T03:57:27Z)
• A Survey of Third-Party Library Security Research in Application Software [3.280510821619164]
  サードパーティのライブラリが広く使われるようになると、関連するセキュリティリスクと潜在的な脆弱性がますます顕在化している。 悪意のある攻撃者は、これらの脆弱性を利用してシステムに侵入したり、不正な操作を行ったり、機密情報を盗んだりすることができる。 ソフトウェアにおけるサードパーティのライブラリの研究は、この増大するセキュリティ問題に対処する上で、最重要課題となる。
  論文  参考訳（メタデータ） (2024-04-27T16:35:02Z)
• PsySafe: A Comprehensive Framework for Psychological-based Attack, Defense, and Evaluation of Multi-agent System Safety [70.84902425123406]
  大規模言語モデル(LLM)で拡張されたマルチエージェントシステムは、集団知能において重要な能力を示す。 しかし、悪意のある目的のためにこのインテリジェンスを誤用する可能性があり、重大なリスクが生じる。 本研究では,エージェント心理学を基盤とした枠組み(PsySafe)を提案し,エージェントのダークパーソナリティ特性がリスク行動にどう影響するかを明らかにする。 実験の結果,エージェント間の集団的危険行動,エージェントが危険な行動を行う際の自己反射,エージェントの心理的評価と危険な行動との相関など,いくつかの興味深い現象が明らかになった。
  論文  参考訳（メタデータ） (2024-01-22T12:11:55Z)
• Safeguarded Progress in Reinforcement Learning: Safe Bayesian Exploration for Control Policy Synthesis [63.532413807686524]
  本稿では、強化学習(RL)におけるトレーニング中の安全維持の問題に対処する。 探索中の効率的な進捗と安全性のトレードオフを扱う新しいアーキテクチャを提案する。
  論文  参考訳（メタデータ） (2023-12-18T16:09:43Z)
• Dependency Practices for Vulnerability Mitigation [4.710141711181836]
  npmエコシステムの450以上の脆弱性を分析し、依存するパッケージが脆弱なままである理由を理解します。 依存関係によって感染した20万以上のnpmパッケージを特定します。 私たちは9つの機能を使って、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築しています。
  論文  参考訳（メタデータ） (2023-10-11T19:48:46Z)
• Analyzing Maintenance Activities of Software Libraries [65.268245109828]
  近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。 産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
  論文  参考訳（メタデータ） (2023-06-09T16:51:25Z)
• Evaluating Model-free Reinforcement Learning toward Safety-critical Tasks [70.76757529955577]
  本稿では、国家安全RLの観点から、この領域における先行研究を再考する。 安全最適化と安全予測を組み合わせた共同手法であるUnrolling Safety Layer (USL)を提案する。 この領域のさらなる研究を容易にするため、我々は関連するアルゴリズムを統一パイプラインで再現し、SafeRL-Kitに組み込む。
  論文  参考訳（メタデータ） (2022-12-12T06:30:17Z)
• Towards Safe Policy Improvement for Non-Stationary MDPs [48.9966576179679]
  多くの実世界の利害問題は非定常性を示し、利害関係が高ければ、偽の定常性仮定に関連するコストは受け入れがたい。 我々は、スムーズに変化する非定常的な意思決定問題に対して、高い信頼性で安全性を確保するための第一歩を踏み出します。 提案手法は,時系列解析を用いたモデルフリー強化学習の合成により,セルドンアルゴリズムと呼ばれる安全なアルゴリズムを拡張した。
  論文  参考訳（メタデータ） (2020-10-23T20:13:51Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。