論文の概要: A Large-scale Fine-grained Analysis of Packages in Open-Source Software Ecosystems

• arxiv url: http://arxiv.org/abs/2404.11467v1
• Date: Wed, 17 Apr 2024 15:16:01 GMT
• ステータス: 処理完了
• システム内更新日: 2024-04-18 13:35:28.167181
• Title: A Large-scale Fine-grained Analysis of Packages in Open-Source Software Ecosystems
• Title（参考訳）: オープンソースソフトウェアエコシステムにおけるパッケージの大規模きめ細かい分析
• Authors: Xiaoyan Zhou, Feiran Liang, Zhaojie Xie, Yang Lan, Wenjia Niu, Jiqiang Liu, Haining Wang, Qiang Li,
• Abstract要約: 悪意のあるパッケージはメタデータの内容が少なく、正規のパッケージよりも静的関数や動的関数が少ない。 きめ細かい情報(FGI)の1次元は、悪意のあるパッケージを検出するのに十分な識別能力を持っている。
• 参考スコア（独自算出の注目度）: 13.610690659041417
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Package managers such as NPM, Maven, and PyPI play a pivotal role in open-source software (OSS) ecosystems, streamlining the distribution and management of various freely available packages. The fine-grained details within software packages can unveil potential risks within existing OSS ecosystems, offering valuable insights for detecting malicious packages. In this study, we undertake a large-scale empirical analysis focusing on fine-grained information (FGI): the metadata, static, and dynamic functions. Specifically, we investigate the FGI usage across a diverse set of 50,000+ legitimate and 1,000+ malicious packages. Based on this diverse data collection, we conducted a comparative analysis between legitimate and malicious packages. Our findings reveal that (1) malicious packages have less metadata content and utilize fewer static and dynamic functions than legitimate ones; (2) malicious packages demonstrate a higher tendency to invoke HTTP/URL functions as opposed to other application services, such as FTP or SMTP; (3) FGI serves as a distinguishable indicator between legitimate and malicious packages; and (4) one dimension in FGI has sufficient distinguishable capability to detect malicious packages, and combining all dimensions in FGI cannot significantly improve overall performance.
• Abstract（参考訳）: NPM、Maven、PyPIといったパッケージマネージャは、オープンソースソフトウェア(OSS)エコシステムにおいて重要な役割を果たす。 ソフトウェアパッケージ内の詳細な詳細は、既存のOSSエコシステム内の潜在的なリスクを明らかにし、悪意のあるパッケージを検出するための貴重な洞察を提供する。 本研究では, メタデータ, 静的, 動的機能など, きめ細かい情報(FGI)に着目した大規模実験分析を行った。 具体的には,5万以上の合法パッケージと1000以上の悪意パッケージの多種多様なFGI使用状況について検討する。 この多様なデータ収集に基づいて、正当性と悪意のあるパッケージの比較分析を行った。 その結果,(1) 悪意パッケージはメタデータの内容が少なく,(2) 正当性よりも静的・動的機能が少ないこと,(2) 悪意パッケージはFTPやSMTPといった他のアプリケーションサービスに比べてHTTP/URL関数を起動する傾向が高いこと,(3) FGIは正当性と悪質パッケージの区別可能な指標として機能すること,(4) FGIの1次元は,悪意パッケージを検出するのに十分な識別能力を有し,FGIのすべての次元を組み合わせることで全体的な性能を著しく向上できないこと,などが判明した。

関連論文リスト

• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• How to Understand Whole Software Repository? [64.19431011897515]
  リポジトリ全体に対する優れた理解は、自動ソフトウェアエンジニアリング(ASE)への重要な道になるでしょう。 本研究では,リポジトリ全体を包括的に理解するためのエージェントによるRepoUnderstanderという新しい手法を開発した。 リポジトリレベルの知識をより活用するために、エージェントをまとめ、分析し、計画する。
  論文  参考訳（メタデータ） (2024-06-03T15:20:06Z)
• OSS Malicious Package Analysis in the Wild [17.028240712650486]
  本稿では、散在するオンラインソースから23,425の悪意あるパッケージのデータセットを構築し、キュレートする。 次に,OSSマルウェアコーパスを表現し,悪意のあるパッケージ解析を行う知識グラフを提案する。
  論文  参考訳（メタデータ） (2024-04-07T15:25:13Z)
• DONAPI: Malicious NPM Packages Detector using Behavior Sequence Knowledge Mapping [28.852274185512236]
  npmは最も広範なパッケージマネージャであり、200万人以上のサードパーティのオープンソースパッケージをホストしている。 本稿では,340万以上のパッケージを含むローカルパッケージキャッシュをほぼリアルタイムで同期させ,より詳細なパッケージコードにアクセスできるようにする。 静的解析と動的解析を組み合わせた自動悪質npmパッケージ検出器であるDONAPIを提案する。
  論文  参考訳（メタデータ） (2024-03-13T08:38:21Z)
• Malicious Package Detection using Metadata Information [0.272760415353533]
  本稿では,メタデータに基づく悪意のあるパッケージ検出モデルであるMeMPtecを紹介する。 MeMPtecはパッケージメタデータ情報から一連の機能を抽出する。 実験の結果,偽陽性と偽陰性の両方が有意な減少を示した。
  論文  参考訳（メタデータ） (2024-02-12T06:54:57Z)
• On the Feasibility of Cross-Language Detection of Malicious Packages in npm and PyPI [6.935278888313423]
  悪意のあるユーザは悪意のあるコードを含むオープンソースパッケージを公開することでマルウェアを拡散し始めた。 最近の研究は、npmエコシステム内の悪意あるパッケージを検出するために機械学習技術を適用している。 言語に依存しない一連の特徴と,npm と PyPI の悪意あるパッケージを検出可能なモデルのトレーニングを含む,新しいアプローチを提案する。
  論文  参考訳（メタデータ） (2023-10-14T12:32:51Z)
• Malicious Package Detection in NPM and PyPI using a Single Model of Malicious Behavior Sequence [7.991922551051611]
  パッケージレジストリ NPM と PyPI は悪意のあるパッケージで溢れている。 既存の悪意あるNPMとPyPIパッケージ検出アプローチの有効性は、2つの課題によって妨げられている。 我々は,NPMとPyPIの悪意あるパッケージを検出するためにCerebroを提案し,実装する。
  論文  参考訳（メタデータ） (2023-09-06T00:58:59Z)
• FAT Forensics: A Python Toolbox for Implementing and Deploying Fairness, Accountability and Transparency Algorithms in Predictive Systems [69.24490096929709]
  FAT ForensicsというオープンソースのPythonパッケージを開発しました。 予測アルゴリズムの重要な公平性、説明可能性、透明性を検査することができる。 私たちのツールボックスは、予測パイプラインのすべての要素を評価することができます。
  論文  参考訳（メタデータ） (2022-09-08T13:25:02Z)
• Is Vertical Logistic Regression Privacy-Preserving? A Comprehensive Privacy Analysis and Beyond [57.10914865054868]
  垂直ロジスティック回帰(VLR)をミニバッチ降下勾配で訓練した。 我々は、オープンソースのフェデレーション学習フレームワークのクラスにおいて、VLRの包括的で厳密なプライバシー分析を提供する。
  論文  参考訳（メタデータ） (2022-07-19T05:47:30Z)
• DADApy: Distance-based Analysis of DAta-manifolds in Python [51.37841707191944]
  DADApyは、高次元データの分析と特徴付けのためのピソンソフトウェアパッケージである。 固有次元と確率密度を推定し、密度に基づくクラスタリングを行い、異なる距離メトリクスを比較する方法を提供する。
  論文  参考訳（メタデータ） (2022-05-04T08:41:59Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。