論文の概要: Dependency Practices for Vulnerability Mitigation
- arxiv url: http://arxiv.org/abs/2310.07847v1
- Date: Wed, 11 Oct 2023 19:48:46 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-23 03:00:04.752917
- Title: Dependency Practices for Vulnerability Mitigation
- Title(参考訳): 脆弱性緩和のための依存性プラクティス
- Authors: Abbas Javan Jafari, Diego Elias Costa, Ahmad Abdellatif, Emad Shihab
- Abstract要約: npmエコシステムの450以上の脆弱性を分析し、依存するパッケージが脆弱なままである理由を理解します。
依存関係によって感染した20万以上のnpmパッケージを特定します。
私たちは9つの機能を使って、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築しています。
- 参考スコア(独自算出の注目度): 4.710141711181836
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Relying on dependency packages accelerates software development, but it also
increases the exposure to security vulnerabilities that may be present in
dependencies. While developers have full control over which dependency packages
(and which version) they use, they have no control over the dependencies of
their dependencies. Such transitive dependencies, which often amount to a
greater number than direct dependencies, can become infected with
vulnerabilities and put software projects at risk. To mitigate this risk,
Practitioners need to select dependencies that respond quickly to
vulnerabilities to prevent the propagation of vulnerable code to their project.
To identify such dependencies, we analyze more than 450 vulnerabilities in the
npm ecosystem to understand why dependent packages remain vulnerable. We
identify over 200,000 npm packages that are infected through their dependencies
and use 9 features to build a prediction model that identifies packages that
quickly adopt the vulnerability fix and prevent further propagation of
vulnerabilities. We also study the relationship between these features and the
response speed of vulnerable packages. We complement our work with a
practitioner survey to understand the applicability of our findings. Developers
can incorporate our findings into their dependency management practices to
mitigate the impact of vulnerabilities from their dependency supply chain.
- Abstract(参考訳): 依存関係パッケージに依存することはソフトウェア開発を加速するが、依存関係に存在する可能性のあるセキュリティ脆弱性への露出も増加させる。
開発者はどの依存関係パッケージ(およびどのバージョン)を使用するかを完全にコントロールするが、依存関係の依存関係をコントロールできない。
このような推移的な依存関係は、直接的な依存関係よりも多くなり、脆弱性に感染し、ソフトウェアプロジェクトを危険にさらす可能性がある。
このリスクを軽減するためには、プロジェクトへの脆弱性のあるコードの伝播を防ぐために、脆弱性に迅速に応答する依存関係を選択する必要がある。
このような依存関係を特定するため、npmエコシステムの450以上の脆弱性を分析し、依存パッケージが脆弱なままである理由を理解する。
依存関係を通じて感染した20万以上のnpmパッケージを特定し、9つの機能を使用して、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築します。
また,これらの機能と脆弱パッケージの応答速度との関係についても検討した。
我々は,研究成果の適用性を理解するために,実践者の調査を補完する。
開発者はこの調査結果を依存関係管理プラクティスに組み込むことで、依存関係サプライチェーンからの脆弱性の影響を軽減することができます。
関連論文リスト
- Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。
35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。
ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
論文 参考訳(メタデータ) (2024-11-12T01:55:51Z) - An Overview and Catalogue of Dependency Challenges in Open Source Software Package Registries [52.23798016734889]
この記事では、OSSパッケージやライブラリに依存する依存関係関連の課題のカタログを提供する。
このカタログは、これらの課題を理解し、定量化し、克服するために行われた経験的研究に関する科学文献に基づいている。
論文 参考訳(メタデータ) (2024-09-27T16:20:20Z) - Improving the Shortest Plank: Vulnerability-Aware Adversarial Training for Robust Recommender System [60.719158008403376]
VAT(Vulnerability-aware Adversarial Training)は、レコメンデーションシステムにおける中毒攻撃に対する防御を目的とした訓練である。
VATは、システムの適合度に基づいて、ユーザの脆弱性を推定するために、新たな脆弱性認識機能を採用している。
論文 参考訳(メタデータ) (2024-09-26T02:24:03Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - Trust, but Verify: Evaluating Developer Behavior in Mitigating Security Vulnerabilities in Open-Source Software Projects [0.11999555634662631]
本研究では,オープンソースソフトウェア(OSS)プロジェクトの依存関係の脆弱性について検討する。
古い依存関係やメンテナンスされていない依存関係に共通する問題を特定しました。
その結果, 直接的な依存関係の削減と, 強力なセキュリティ記録を持つ高度に確立されたライブラリの優先順位付けが, ソフトウェアセキュリティの状況を改善する効果的な戦略であることが示唆された。
論文 参考訳(メタデータ) (2024-08-26T13:46:48Z) - Trusting code in the wild: Exploring contributor reputation measures to review dependencies in the Rust ecosystem [1.0310977366592338]
ネットワーク集中度尺度を用いて、協力活動を用いたコントリビュータの評判を推し進める。
パッケージの追加や更新を行う前に,依存関係をレビューする回答者は24%に過ぎません。
GitHub、Rust、npmといったエコシステムは、依存関係レビューで開発者を支援するために、コントリビュータの評価バッジを実装することを推奨しています。
論文 参考訳(メタデータ) (2024-06-14T16:13:58Z) - An empirical study of bloated dependencies in CommonJS packages [6.115666382910127]
サーバサイドアプリケーションで完全に使用されていない肥大化した依存関係を調査するために、実証的研究を行う。
本稿では,ファイルアクセスを監視し,実行中にどの依存関係がアクセスされないかを決定するトレースベースの動的解析手法を提案する。
以上の結果から,パッケージマネージャにおける依存性のデブロ化に対するネイティブサポートは,依存関係維持の負担を大幅に軽減する可能性が示唆された。
論文 参考訳(メタデータ) (2024-05-28T08:04:01Z) - See to Believe: Using Visualization To Motivate Updating Third-party Dependencies [1.7914660044009358]
サードパーティの依存関係を使用したアプリケーションによって導入されたセキュリティ脆弱性が増加している。
開発者はライブラリのアップデートに注意を払っており、脆弱性の修正にも注意している。
本稿では、依存性グラフ可視化(DGV)アプローチが、開発者が更新を動機付けると仮定する。
論文 参考訳(メタデータ) (2024-05-15T03:57:27Z) - Empirical Analysis of Vulnerabilities Life Cycle in Golang Ecosystem [0.773844059806915]
Golangの脆弱性のライフサイクルを総合的に調査した。
その結果、Golangエコシステムの66.10%のモジュールが脆弱性の影響を受けていることがわかった。
タグ付けされていない脆弱性やラベル付けされていない脆弱性の背後にある理由を分析することで、タイムリーリリースとインデクシングのパッチバージョンは、エコシステムのセキュリティを著しく向上させる可能性がある。
論文 参考訳(メタデータ) (2023-12-31T14:53:51Z) - Analyzing Maintenance Activities of Software Libraries [65.268245109828]
近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。
産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
論文 参考訳(メタデータ) (2023-06-09T16:51:25Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。