論文の概要: Characterizing Dependency Update Practice of NPM, PyPI and Cargo Packages

• arxiv url: http://arxiv.org/abs/2403.17382v1
• Date: Tue, 26 Mar 2024 05:01:53 GMT
• ステータス: 処理完了
• システム内更新日: 2024-03-27 16:45:50.101567
• Title: Characterizing Dependency Update Practice of NPM, PyPI and Cargo Packages
• Title（参考訳）: NPM, PyPI, カーゴパッケージの依存性更新プラクティスの特徴付け
• Authors: Imranur Rahman, Nusrat Zahan, Stephen Magill, William Enck, Laurie Williams,
• Abstract要約: 依存関係を最新に保つことで、時代遅れで脆弱な依存関係によるソフトウェアサプライチェーンの攻撃が防止される。 本稿では,依存関係の更新度と脆弱性のある依存関係の更新度を測定するための2つの更新指標を提案する。 我々は,2.9Mパッケージ,66.8Mパッケージバージョン,26.8Mユニークなパッケージ依存性関係を用いた大規模更新メトリクスの実証的研究を行った。
• 参考スコア（独自算出の注目度）: 7.739923421146855
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Keeping dependencies up-to-date prevents software supply chain attacks through outdated and vulnerable dependencies. Developers may use packages' dependency update practice as one of the selection criteria for choosing a package as a dependency. However, the lack of metrics characterizing packages' dependency update practice makes this assessment difficult. To measure the up-to-date characteristics of packages, we focus on the dependency management aspect and propose two update metrics: Time-Out-Of-Date (TOOD) and Post-Fix-Exposure-Time (PFET), to measure the updatedness of dependencies and updatedness of vulnerable dependencies, respectively. We design an algorithm to stabilize the dependency relationships in different time intervals and compute the proposed metrics for each package. Using our proposed metrics, we conduct a large-scale empirical study of update metrics with 2.9M packages, 66.8M package versions, and 26.8M unique package-dependency relations in NPM, PyPI, and Cargo, ranging from the year 2004 to 2023. We analyze the characteristics of the proposed metrics for capturing packages' dependency update practice in the three ecosystems. Given that the TOOD metric generates a greater volume of data than the PFET metric, we further explore the numerical relationship between these metrics to assess their potential as substitutes for vulnerability counts metrics. We find that PyPI packages update dependencies faster than NPM and Cargo. Conversely, Cargo packages update their vulnerable dependencies faster than NPM and PyPI. We also find that the general purpose update metric, TOOD, can be a proxy for the security-focused update metric, PFET.
• Abstract（参考訳）: 依存関係を最新に保つことで、時代遅れで脆弱な依存関係によるソフトウェアサプライチェーンの攻撃が防止される。 開発者は、パッケージを依存関係として選択するための選択基準の1つとして、パッケージの依存性更新プラクティスを使用することができる。 しかしながら、パッケージの依存性更新プラクティスを特徴付けるメトリクスの欠如は、この評価を困難にしている。 パッケージの最新の特性を測定するために,依存関係管理の側面に注目し,それぞれ依存性の更新性と脆弱性のある依存関係の更新性を測定するために,TOOD(Time-Out-Of-Date)とPFET(Post-Fix-Exposure-Time)の2つの更新指標を提案する。 異なる時間間隔で依存関係関係を安定化するアルゴリズムを設計し,提案するパッケージのメトリクスを算出する。 提案手法を用いて,2004年から2023年にかけて,NPM,PyPI,Cargoにおける2.9Mパッケージ,66.8Mパッケージバージョン,26.8M独自のパッケージ依存性関係を持つ更新メトリクスの大規模調査を行った。 3つのエコシステムにおけるパッケージの依存性更新プラクティスをキャプチャする上で,提案手法の特徴を分析した。 PFETメトリックよりも大量のデータを生成するTOODメトリックを考えると、これらのメトリクス間の数値関係をさらに調べて、脆弱性数メトリクスの代用としての可能性を評価する。 PyPIパッケージはNPMやCargoよりも早く依存関係を更新する。 逆に、Cargoパッケージは脆弱な依存関係をNPMやPyPIよりも早く更新する。 また,汎用的な更新基準であるTOODが,セキュリティを重視した更新基準であるPFETのプロキシとなることも確認した。

関連論文リスト

• Pinning Is Futile: You Need More Than Local Dependency Versioning to Defend against Supply Chain Attacks [23.756533975349985]
  オープンソースソフトウェアにおける最近の顕著なインシデントは、ソフトウェアサプライチェーンの攻撃に実践者の注意を向けている。 セキュリティ実践者は、バージョン範囲に浮かぶのではなく、特定のバージョンへの依存性をピン留めすることを推奨する。 我々は,npmエコシステムにおけるバージョン制約のセキュリティとメンテナンスへの影響を,カウンターファクト分析とシミュレーションを通じて定量化する。
  論文  参考訳（メタデータ） (2025-02-10T16:50:48Z)
• Leveraging the Crowd for Dependency Management: An Empirical Study on the Dependabot Compatibility Score [3.6840775431698893]
  クライアントパッケージが依存性の更新を受ける際のリスクを評価するのに役立つように、互換性スコアの有効性について検討する。 群衆からのデータ不足のため,依存関係更新の83%については,互換性スコアを計算できないことがわかった。 本稿では,群衆からのインプットを増幅する指標を提案し,それらの指標がクライアントパッケージによる更新成功の受け入れを予測できることを示す。
  論文  参考訳（メタデータ） (2024-03-14T00:26:19Z)
• Malicious Package Detection using Metadata Information [0.272760415353533]
  本稿では,メタデータに基づく悪意のあるパッケージ検出モデルであるMeMPtecを紹介する。 MeMPtecはパッケージメタデータ情報から一連の機能を抽出する。 実験の結果,偽陽性と偽陰性の両方が有意な減少を示した。
  論文  参考訳（メタデータ） (2024-02-12T06:54:57Z)
• Seg-metrics: a Python package to compute segmentation metrics [0.6827423171182151]
  textttseg-metricsは、標準MISモデル評価のためのオープンソースのPythonパッケージである。 textttseg-metricsは複数のファイルフォーマットをサポートし、Python Package Index (PyPI)を通じて簡単にインストールできる
  論文  参考訳（メタデータ） (2024-01-12T16:30:54Z)
• Dependency Update Strategies and Package Characteristics [5.119787101452765]
  本研究は,パッケージ特性と依存者が選択した依存関係更新戦略との関係について検討する。 我々は112,000 npm以上のパッケージを調査し、19の特性を用いて、各パッケージの共通依存関係更新戦略を特定する予測モデルを構築した。
  論文  参考訳（メタデータ） (2023-05-25T02:58:21Z)
• Joint Metrics Matter: A Better Standard for Trajectory Forecasting [67.1375677218281]
  マルチモーダル・トラジェクトリ・予測法 : シングルエージェント・メトリクス(マージナル・メトリクス)を用いた評価 余分な指標にのみ注目することは、グループとして明確に一緒に歩いている人々のために、軌跡の衝突や軌跡のばらつきといった、不自然な予測につながる可能性がある。 本稿では,JADE,JFDE,衝突速度といったマルチエージェントメトリクス(ジョイントメトリクス)に関して,最先端トラジェクトリ予測手法の総合評価を行った。
  論文  参考訳（メタデータ） (2023-05-10T16:27:55Z)
• Bilateral Dependency Optimization: Defending Against Model-inversion Attacks [61.78426165008083]
  本稿では,モデル反転攻撃に対する二元的依存性最適化(BiDO)戦略を提案する。 BiDOは、さまざまなデータセット、分類器、MI攻撃に対する最先端の防御性能を達成する。
  論文  参考訳（メタデータ） (2022-06-11T10:07:03Z)
• QAFactEval: Improved QA-Based Factual Consistency Evaluation for Summarization [116.56171113972944]
  QAベースのメトリクスのコンポーネントを慎重に選択することは、パフォーマンスにとって重要であることを示す。 提案手法は,最良性能のエンテーメントに基づく測定値を改善し,最先端の性能を実現する。
  論文  参考訳（メタデータ） (2021-12-16T00:38:35Z)
• Linguistic dependencies and statistical dependence [76.89273585568084]
  文脈における単語の確率を推定するために,事前学習した言語モデルを用いる。 最大CPMI木は非文脈PMI推定値から抽出した木よりも言語的依存関係によく対応していることがわかった。
  論文  参考訳（メタデータ） (2021-04-18T02:43:37Z)
• Neural Methods for Point-wise Dependency Estimation [129.93860669802046]
  我々は,2つの結果が共起する確率を定量的に測定する点依存度(PD)の推定に焦点をあてる。 提案手法の有効性を,1)MI推定,2)自己教師付き表現学習,3)クロスモーダル検索タスクで示す。
  論文  参考訳（メタデータ） (2020-06-09T23:26:15Z)
• pyBART: Evidence-based Syntactic Transformations for IE [52.93947844555369]
  pyBARTは、英語のUD木を拡張UDグラフに変換するためのオープンソースのPythonライブラリである。 パターンに基づく関係抽出のシナリオで評価すると、より少ないパターンを必要としながら、より高精細なUDよりも高い抽出スコアが得られる。
  論文  参考訳（メタデータ） (2020-05-04T07:38:34Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。