論文の概要: A Large-scale Fine-grained Analysis of Packages in Open-Source Software Ecosystems
- arxiv url: http://arxiv.org/abs/2404.11467v1
- Date: Wed, 17 Apr 2024 15:16:01 GMT
- ステータス: 処理完了
- システム内更新日: 2024-04-18 13:35:28.167181
- Title: A Large-scale Fine-grained Analysis of Packages in Open-Source Software Ecosystems
- Title(参考訳): オープンソースソフトウェアエコシステムにおけるパッケージの大規模きめ細かい分析
- Authors: Xiaoyan Zhou, Feiran Liang, Zhaojie Xie, Yang Lan, Wenjia Niu, Jiqiang Liu, Haining Wang, Qiang Li,
- Abstract要約: 悪意のあるパッケージはメタデータの内容が少なく、正規のパッケージよりも静的関数や動的関数が少ない。
きめ細かい情報(FGI)の1次元は、悪意のあるパッケージを検出するのに十分な識別能力を持っている。
- 参考スコア(独自算出の注目度): 13.610690659041417
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Package managers such as NPM, Maven, and PyPI play a pivotal role in open-source software (OSS) ecosystems, streamlining the distribution and management of various freely available packages. The fine-grained details within software packages can unveil potential risks within existing OSS ecosystems, offering valuable insights for detecting malicious packages. In this study, we undertake a large-scale empirical analysis focusing on fine-grained information (FGI): the metadata, static, and dynamic functions. Specifically, we investigate the FGI usage across a diverse set of 50,000+ legitimate and 1,000+ malicious packages. Based on this diverse data collection, we conducted a comparative analysis between legitimate and malicious packages. Our findings reveal that (1) malicious packages have less metadata content and utilize fewer static and dynamic functions than legitimate ones; (2) malicious packages demonstrate a higher tendency to invoke HTTP/URL functions as opposed to other application services, such as FTP or SMTP; (3) FGI serves as a distinguishable indicator between legitimate and malicious packages; and (4) one dimension in FGI has sufficient distinguishable capability to detect malicious packages, and combining all dimensions in FGI cannot significantly improve overall performance.
- Abstract(参考訳): NPM、Maven、PyPIといったパッケージマネージャは、オープンソースソフトウェア(OSS)エコシステムにおいて重要な役割を果たす。
ソフトウェアパッケージ内の詳細な詳細は、既存のOSSエコシステム内の潜在的なリスクを明らかにし、悪意のあるパッケージを検出するための貴重な洞察を提供する。
本研究では, メタデータ, 静的, 動的機能など, きめ細かい情報(FGI)に着目した大規模実験分析を行った。
具体的には,5万以上の合法パッケージと1000以上の悪意パッケージの多種多様なFGI使用状況について検討する。
この多様なデータ収集に基づいて、正当性と悪意のあるパッケージの比較分析を行った。
その結果,(1) 悪意パッケージはメタデータの内容が少なく,(2) 正当性よりも静的・動的機能が少ないこと,(2) 悪意パッケージはFTPやSMTPといった他のアプリケーションサービスに比べてHTTP/URL関数を起動する傾向が高いこと,(3) FGIは正当性と悪質パッケージの区別可能な指標として機能すること,(4) FGIの1次元は,悪意パッケージを検出するのに十分な識別能力を有し,FGIのすべての次元を組み合わせることで全体的な性能を著しく向上できないこと,などが判明した。
関連論文リスト
- Tracking Down Software Cluster Bombs: A Current State Analysis of the Free/Libre and Open Source Software (FLOSS) Ecosystem [0.43981305860983705]
本稿では,FLOSSパッケージリポジトリの現状について概説する。
ソフトウェアエコシステム内の問題領域を特定するという課題に対処する。
その結果,FLOSSエコシステム内には保守性の高いプロジェクトが存在する一方で,サプライチェーンアタックの影響を受けやすいプロジェクトも存在していることが示唆された。
論文 参考訳(メタデータ) (2025-02-12T08:57:57Z) - MIETT: Multi-Instance Encrypted Traffic Transformer for Encrypted Traffic Classification [59.96233305733875]
トラフィックの分類は、セキュリティの脅威を検出し、ネットワーク管理を最適化するために不可欠である。
トークンレベルとパケットレベルの両方の関係をキャプチャするMulti-Instance Encrypted Traffic Transformer (MIETT)を提案する。
MIETTは5つのデータセットにまたがって結果を達成し、暗号化されたトラフィックの分類と複雑なネットワーク動作の理解の有効性を示す。
論文 参考訳(メタデータ) (2024-12-19T12:52:53Z) - A Machine Learning-Based Approach For Detecting Malicious PyPI Packages [4.311626046942916]
現代のソフトウェア開発では、外部ライブラリやパッケージの使用が増えている。
この再利用コードへの依存は、悪意のあるパッケージという形でデプロイされたソフトウェアに重大なリスクをもたらす。
本稿では、機械学習と静的解析を用いて、パッケージのメタデータ、コード、ファイル、テキストの特徴を調べるデータ駆動型アプローチを提案する。
論文 参考訳(メタデータ) (2024-12-06T18:49:06Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - OSS Malicious Package Analysis in the Wild [17.028240712650486]
本稿では、散在するオンラインソースから23,425の悪意あるパッケージのデータセットを構築し、キュレートする。
次に,OSSマルウェアコーパスを表現し,悪意のあるパッケージ解析を行う知識グラフを提案する。
論文 参考訳(メタデータ) (2024-04-07T15:25:13Z) - DONAPI: Malicious NPM Packages Detector using Behavior Sequence Knowledge Mapping [28.852274185512236]
npmは最も広範なパッケージマネージャであり、200万人以上のサードパーティのオープンソースパッケージをホストしている。
本稿では,340万以上のパッケージを含むローカルパッケージキャッシュをほぼリアルタイムで同期させ,より詳細なパッケージコードにアクセスできるようにする。
静的解析と動的解析を組み合わせた自動悪質npmパッケージ検出器であるDONAPIを提案する。
論文 参考訳(メタデータ) (2024-03-13T08:38:21Z) - Malicious Package Detection using Metadata Information [0.272760415353533]
本稿では,メタデータに基づく悪意のあるパッケージ検出モデルであるMeMPtecを紹介する。
MeMPtecはパッケージメタデータ情報から一連の機能を抽出する。
実験の結果,偽陽性と偽陰性の両方が有意な減少を示した。
論文 参考訳(メタデータ) (2024-02-12T06:54:57Z) - FAT Forensics: A Python Toolbox for Implementing and Deploying Fairness,
Accountability and Transparency Algorithms in Predictive Systems [69.24490096929709]
FAT ForensicsというオープンソースのPythonパッケージを開発しました。
予測アルゴリズムの重要な公平性、説明可能性、透明性を検査することができる。
私たちのツールボックスは、予測パイプラインのすべての要素を評価することができます。
論文 参考訳(メタデータ) (2022-09-08T13:25:02Z) - Is Vertical Logistic Regression Privacy-Preserving? A Comprehensive
Privacy Analysis and Beyond [57.10914865054868]
垂直ロジスティック回帰(VLR)をミニバッチ降下勾配で訓練した。
我々は、オープンソースのフェデレーション学習フレームワークのクラスにおいて、VLRの包括的で厳密なプライバシー分析を提供する。
論文 参考訳(メタデータ) (2022-07-19T05:47:30Z) - DADApy: Distance-based Analysis of DAta-manifolds in Python [51.37841707191944]
DADApyは、高次元データの分析と特徴付けのためのピソンソフトウェアパッケージである。
固有次元と確率密度を推定し、密度に基づくクラスタリングを行い、異なる距離メトリクスを比較する方法を提供する。
論文 参考訳(メタデータ) (2022-05-04T08:41:59Z) - VELVET: a noVel Ensemble Learning approach to automatically locate
VulnErable sTatements [62.93814803258067]
本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。
我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。
VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
論文 参考訳(メタデータ) (2021-12-20T22:45:27Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。