論文の概要: No Vulnerability Data, No Problem: Towards Predicting Mean Time To Remediate In Open Source Software Dependencies

• arxiv url: http://arxiv.org/abs/2403.17382v2
• Date: Tue, 18 Mar 2025 23:21:54 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-03-20 19:58:13.106178
• Title: No Vulnerability Data, No Problem: Towards Predicting Mean Time To Remediate In Open Source Software Dependencies
• Title（参考訳）: 脆弱性データなし、問題なし:オープンソースのソフトウェア依存の即時修正を目指す
• Authors: Imranur Rahman, Ranindya Paramitha, Nusrat Zahan, Stephen Magill, William Enck, Laurie Williams,
• Abstract要約: MTTR(Mean-Time-To-Remediate)メトリックは、パッケージの脆弱性のあるバージョンを更新するのにどのくらいの時間を要するか、歴史的な視点を提供することができる。 MTTR_dep$ と $Mean-Time-To-Update_dep$ (MTTU_dep$) を併用した新しいMTTR計算アルゴリズムを提案する。 我々は,npm,PyPI,Cargoの163,207パッケージを用いて大規模な調査を行い,22,513パッケージのみが脆弱性の欠如を理由にMTTR_dep$を生産した。
• 参考スコア（独自算出の注目度）: 7.304461924231725
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Timely remediation of vulnerabilities in software dependencies is critical for the security of the software supply chain. As such, researchers have proposed tools and metrics to help practitioners assess the security practices of each of their dependencies. Conceptually, a dependency-focused Mean-Time-To-Remediate (MTTR) metric can provide a historical perspective on how long it takes a given package to update vulnerable versions of its dependencies. However, existing MTTR metrics focus on a package fixing bugs in its own code, not its dependencies. Simultaneously, existing dependency update metrics do not aggregate values for the entire package and are not sensitive to aspects important for vulnerabilities (e.g., floating version constraints). The goal of this study is to aid industry practitioners, including developers, in assessing the risk of dependencies through a novel metric approximating mean-time-to-remediate vulnerabilities in their dependencies that is evaluated by an empirical study. We propose a novel algorithm for computing MTTR called $MTTR_{dep}$ and a companion metric called $Mean-Time-To-Update_{dep}$ ($MTTU_{dep}$), which considers all version updates, including vulnerability fix updates. We conduct a large-scale study using 163, 207 packages in npm, PyPI, and Cargo, of which only 22, 513 packages produce $MTTR_{dep}$ because of the lack of vulnerability data. We further study how package characteristics (e.g., contributors and version counts) influence $MTTU_{dep}$ and $MTTR_{dep}$ and explore how long packages retain outdated vulnerable dependencies in npm, PyPI, and Cargo. Our results indicate that industry practitioners can reliably use $MTTU_{dep}$ as a proxy for $MTTR_{dep}$ when available vulnerability data is insufficient.
• Abstract（参考訳）: ソフトウェア依存関係の脆弱性のタイムリーな修復は、ソフトウェアサプライチェーンのセキュリティにとって非常に重要です。 そのため、各依存関係のセキュリティプラクティスを評価するためのツールとメトリクスが提案されている。 概念的には、依存関係にフォーカスする平均更新時間(MTTR)メトリクスは、依存関係の脆弱なバージョンを更新するのに、あるパッケージがどれくらいの時間を要するか、歴史的な視点を提供することができる。 しかし、既存のMTTRメトリクスは、依存関係ではなく、自身のコードのバグを修正するパッケージに焦点を当てている。 同時に、既存の依存性更新メトリクスは、パッケージ全体の値を集約せず、脆弱性(例えば、フローティングバージョン制約)にとって重要な側面に敏感ではない。 本研究の目的は、開発者を含む業界実践者が、経験的な研究によって評価される依存関係における平均的時間的脆弱性を近似する新しいメトリクスを通じて、依存関係のリスクを評価することを支援することである。 MTTR_{dep}$(Mean-Time-To-Update_{dep}$(MTTU_{dep}$)と呼ばれる新しいMTTR計算アルゴリズムを提案する。 我々は,npm,PyPI,Cargoの163,207パッケージを大規模に調査し,22,513パッケージだけでMTTR_{dep}$を生成した。 さらに、パッケージの特性(例、コントリビュータ、バージョン数)が$MTTU_{dep}$と$MTTR_{dep}$にどのように影響するかを調査し、npm、PyPI、Cargoでパッケージが時代遅れの脆弱な依存関係をどれだけ長く保持しているかを調査します。 我々の結果は、業界の実践者は、利用可能な脆弱性データが不十分な場合に、$MTTU_{dep}$のプロキシとして$MTTU_{dep}$を確実に使用できることを示している。

関連論文リスト

• Why Authors and Maintainers Link (or Don't Link) Their PyPI Libraries to Code Repositories and Donation Platforms [83.16077040470975]
  Python Package Index(PyPI)上のライブラリのメタデータは、オープンソースライブラリの透明性、信頼性、持続性をサポートする上で重要な役割を果たす。 本稿は,5万PyPIの著者とメンテナに送付された2つの対象調査を組み合わせた大規模実証研究である。 我々は,大規模言語モデル(LLM)に基づくトピックモデリングを用いて1,400以上の応答を分析し,リポジトリと寄付プラットフォームのリンクに関連する重要なモチベーションと障壁を明らかにする。
  論文  参考訳（メタデータ） (2026-01-21T16:13:57Z)
• ADVMEM: Adversarial Memory Initialization for Realistic Test-Time Adaptation via Tracklet-Based Benchmarking [49.57556157169541]
  テスト時間適応(TTA)手法をベンチマークするための新しいトラックレットベースのデータセットを提案する。 このデータセットの目的は、ハンドヘルドカメラや自動運転車によって撮影された画像など、現実世界の環境で遭遇する複雑な課題を模倣することである。
  論文  参考訳（メタデータ） (2025-09-02T10:45:33Z)
• MCP-Universe: Benchmarking Large Language Models with Real-World Model Context Protocol Servers [86.00932417210477]
  MCP-Universeは,実世界のMPPサーバとのインタラクションを通じて,現実的かつ困難なタスクにおいてLLMを評価するために設計された,初めての総合ベンチマークである。 私たちのベンチマークでは、ロケーションナビゲーション、リポジトリ管理、財務分析、3Dデザイン、ブラウザ自動化、Web検索という、11の異なるMSPサーバにまたがる6つのコアドメインを網羅しています。 GPT-5 (43.72%) やGrok-4 (33.33%) やClaude-4.0-Sonnet (29.44%) のようなSOTAモデルでさえ、大幅な性能制限がある。
  論文  参考訳（メタデータ） (2025-08-20T13:28:58Z)
• Faster Releases, Fewer Risks: A Study on Maven Artifact Vulnerabilities and Lifecycle Management [0.14999444543328289]
  私たちは1万のMavenアーティファクトのリリース履歴を分析し、203,000以上のリリースと170万の依存関係をカバーしています。 以上の結果から,リリース速度と依存性の陳腐化との間には逆の関係が認められた。 これらの知見は、セキュリティリスクの低減におけるリリース戦略の加速の重要性を強調している。
  論文  参考訳（メタデータ） (2025-03-31T17:32:45Z)
• Analyzing the Usage of Donation Platforms for PyPI Libraries [91.97201077607862]
  本研究では,PyPIエコシステムにおける寄付プラットフォームの導入状況について分析した。 GitHub Sponsorsが支配的なプラットフォームであるが、多くのPyPIリストのリンクは時代遅れである。
  論文  参考訳（メタデータ） (2025-03-11T10:27:31Z)
• Pinning Is Futile: You Need More Than Local Dependency Versioning to Defend against Supply Chain Attacks [23.756533975349985]
  オープンソースソフトウェアにおける最近の顕著なインシデントは、ソフトウェアサプライチェーンの攻撃に実践者の注意を向けている。 セキュリティ実践者は、バージョン範囲に浮かぶのではなく、特定のバージョンへの依存性をピン留めすることを推奨する。 我々は,npmエコシステムにおけるバージョン制約のセキュリティとメンテナンスへの影響を,カウンターファクト分析とシミュレーションを通じて定量化する。
  論文  参考訳（メタデータ） (2025-02-10T16:50:48Z)
• A Machine Learning-Based Approach For Detecting Malicious PyPI Packages [4.311626046942916]
  現代のソフトウェア開発では、外部ライブラリやパッケージの使用が増えている。 この再利用コードへの依存は、悪意のあるパッケージという形でデプロイされたソフトウェアに重大なリスクをもたらす。 本稿では、機械学習と静的解析を用いて、パッケージのメタデータ、コード、ファイル、テキストの特徴を調べるデータ駆動型アプローチを提案する。
  論文  参考訳（メタデータ） (2024-12-06T18:49:06Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• On Characterizing and Mitigating Imbalances in Multi-Instance Partial Label Learning [57.18649648182171]
  我々は、MI-PLLの文脈において、これまで研究されていない問題に対処するためのコントリビューションを行っている。 最小限の仮定をしながら、クラス固有のMI-PLLのリスク境界を導出する。 我々の理論は、$sigma$が学習の不均衡に大きな影響を及ぼすというユニークな現象を明らかにしている。
  論文  参考訳（メタデータ） (2024-07-13T20:56:34Z)
• UniTST: Effectively Modeling Inter-Series and Intra-Series Dependencies for Multivariate Time Series Forecasting [98.12558945781693]
  フラット化されたパッチトークンに統一された注意機構を含む変圧器ベースモデルUniTSTを提案する。 提案モデルでは単純なアーキテクチャを採用しているが,時系列予測のためのいくつかのデータセットの実験で示されたような,魅力的な性能を提供する。
  論文  参考訳（メタデータ） (2024-06-07T14:39:28Z)
• See to Believe: Using Visualization To Motivate Updating Third-party Dependencies [1.7914660044009358]
  サードパーティの依存関係を使用したアプリケーションによって導入されたセキュリティ脆弱性が増加している。 開発者はライブラリのアップデートに注意を払っており、脆弱性の修正にも注意している。 本稿では、依存性グラフ可視化(DGV)アプローチが、開発者が更新を動機付けると仮定する。
  論文  参考訳（メタデータ） (2024-05-15T03:57:27Z)
• Leveraging the Crowd for Dependency Management: An Empirical Study on the Dependabot Compatibility Score [3.6840775431698893]
  クライアントパッケージが依存性の更新を受ける際のリスクを評価するのに役立つように、互換性スコアの有効性について検討する。 群衆からのデータ不足のため,依存関係更新の83%については,互換性スコアを計算できないことがわかった。 本稿では,群衆からのインプットを増幅する指標を提案し,それらの指標がクライアントパッケージによる更新成功の受け入れを予測できることを示す。
  論文  参考訳（メタデータ） (2024-03-14T00:26:19Z)
• Automating Dataset Updates Towards Reliable and Timely Evaluation of Large Language Models [81.27391252152199]
  大規模言語モデル(LLM)は、さまざまな自然言語ベンチマークで素晴らしいパフォーマンスを実現している。 本稿では、データセットの自動更新と、その有効性に関する体系的な分析を提案する。 1) 類似したサンプルを生成するための戦略を模倣すること,2) 既存のサンプルをさらに拡張する戦略を拡張すること,である。
  論文  参考訳（メタデータ） (2024-02-19T07:15:59Z)
• Malicious Package Detection using Metadata Information [0.272760415353533]
  本稿では,メタデータに基づく悪意のあるパッケージ検出モデルであるMeMPtecを紹介する。 MeMPtecはパッケージメタデータ情報から一連の機能を抽出する。 実験の結果,偽陽性と偽陰性の両方が有意な減少を示した。
  論文  参考訳（メタデータ） (2024-02-12T06:54:57Z)
• Refined Sample Complexity for Markov Games with Independent Linear Function Approximation [49.5660193419984]
  マルコフゲーム(MG)はマルチエージェント強化学習(MARL)の重要なモデルである 本稿では、WangらによるAVLPRフレームワークを改良し(2023年)、最適部分ギャップの悲観的推定を設計する。 マルチエージェントの呪いに取り組み、最適な$O(T-1/2)収束率を達成し、同時に$textpoly(A_max)$依存性を避ける最初のアルゴリズムを与える。
  論文  参考訳（メタデータ） (2024-02-11T01:51:15Z)
• Seg-metrics: a Python package to compute segmentation metrics [0.6827423171182151]
  textttseg-metricsは、標準MISモデル評価のためのオープンソースのPythonパッケージである。 textttseg-metricsは複数のファイルフォーマットをサポートし、Python Package Index (PyPI)を通じて簡単にインストールできる
  論文  参考訳（メタデータ） (2024-01-12T16:30:54Z)
• Online non-parametric likelihood-ratio estimation by Pearson-divergence functional minimization [55.98760097296213]
  iid 観測のペア $(x_t sim p, x'_t sim q)$ が時間の経過とともに観測されるような,オンラインな非パラメトリック LRE (OLRE) のための新しいフレームワークを提案する。 本稿では,OLRE法の性能に関する理論的保証と,合成実験における実証的検証について述べる。
  論文  参考訳（メタデータ） (2023-11-03T13:20:11Z)
• Dependency Practices for Vulnerability Mitigation [4.710141711181836]
  npmエコシステムの450以上の脆弱性を分析し、依存するパッケージが脆弱なままである理由を理解します。 依存関係によって感染した20万以上のnpmパッケージを特定します。 私たちは9つの機能を使って、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築しています。
  論文  参考訳（メタデータ） (2023-10-11T19:48:46Z)
• When is Agnostic Reinforcement Learning Statistically Tractable? [76.1408672715773]
  エンフスパンニング容量と呼ばれる新しい複雑性測度は、設定された$Pi$にのみ依存し、MDPダイナミクスとは独立である。 我々は、学習するためにスーパーポリノミカルな数のサンプルを必要とする制限付きスパンリング能力を持つポリシークラス$Pi$が存在することを示した。 これにより、生成的アクセスとオンラインアクセスモデルの間の学習可能性の驚くほどの分離が明らかになる。
  論文  参考訳（メタデータ） (2023-10-09T19:40:54Z)
• Dependency Update Strategies and Package Characteristics [5.119787101452765]
  本研究は,パッケージ特性と依存者が選択した依存関係更新戦略との関係について検討する。 我々は112,000 npm以上のパッケージを調査し、19の特性を用いて、各パッケージの共通依存関係更新戦略を特定する予測モデルを構築した。
  論文  参考訳（メタデータ） (2023-05-25T02:58:21Z)
• Joint Metrics Matter: A Better Standard for Trajectory Forecasting [67.1375677218281]
  マルチモーダル・トラジェクトリ・予測法 : シングルエージェント・メトリクス(マージナル・メトリクス)を用いた評価 余分な指標にのみ注目することは、グループとして明確に一緒に歩いている人々のために、軌跡の衝突や軌跡のばらつきといった、不自然な予測につながる可能性がある。 本稿では,JADE,JFDE,衝突速度といったマルチエージェントメトリクス(ジョイントメトリクス)に関して,最先端トラジェクトリ予測手法の総合評価を行った。
  論文  参考訳（メタデータ） (2023-05-10T16:27:55Z)
• Cheaply Evaluating Inference Efficiency Metrics for Autoregressive Transformer APIs [66.30706841821123]
  大規模言語モデル(LLM)は、自然言語処理において多くの最先端システムに電力を供給する。 LLMは、推論時でさえ非常に計算コストが高い。 モデル間での推論効率を比較するための新しい指標を提案する。
  論文  参考訳（メタデータ） (2023-05-03T21:51:42Z)
• Bilateral Dependency Optimization: Defending Against Model-inversion Attacks [61.78426165008083]
  本稿では,モデル反転攻撃に対する二元的依存性最適化(BiDO)戦略を提案する。 BiDOは、さまざまなデータセット、分類器、MI攻撃に対する最先端の防御性能を達成する。
  論文  参考訳（メタデータ） (2022-06-11T10:07:03Z)
• QAFactEval: Improved QA-Based Factual Consistency Evaluation for Summarization [116.56171113972944]
  QAベースのメトリクスのコンポーネントを慎重に選択することは、パフォーマンスにとって重要であることを示す。 提案手法は,最良性能のエンテーメントに基づく測定値を改善し,最先端の性能を実現する。
  論文  参考訳（メタデータ） (2021-12-16T00:38:35Z)
• Linguistic dependencies and statistical dependence [76.89273585568084]
  文脈における単語の確率を推定するために,事前学習した言語モデルを用いる。 最大CPMI木は非文脈PMI推定値から抽出した木よりも言語的依存関係によく対応していることがわかった。
  論文  参考訳（メタデータ） (2021-04-18T02:43:37Z)
• Neural Methods for Point-wise Dependency Estimation [129.93860669802046]
  我々は,2つの結果が共起する確率を定量的に測定する点依存度(PD)の推定に焦点をあてる。 提案手法の有効性を,1)MI推定,2)自己教師付き表現学習,3)クロスモーダル検索タスクで示す。
  論文  参考訳（メタデータ） (2020-06-09T23:26:15Z)
• pyBART: Evidence-based Syntactic Transformations for IE [52.93947844555369]
  pyBARTは、英語のUD木を拡張UDグラフに変換するためのオープンソースのPythonライブラリである。 パターンに基づく関係抽出のシナリオで評価すると、より少ないパターンを必要としながら、より高精細なUDよりも高い抽出スコアが得られる。
  論文  参考訳（メタデータ） (2020-05-04T07:38:34Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。