論文の概要: The Code the World Depends On: A First Look at Technology Makers' Open Source Software Dependencies
- arxiv url: http://arxiv.org/abs/2404.11763v1
- Date: Wed, 17 Apr 2024 21:44:38 GMT
- ステータス: 処理完了
- システム内更新日: 2024-04-19 20:00:41.795854
- Title: The Code the World Depends On: A First Look at Technology Makers' Open Source Software Dependencies
- Title(参考訳): 世界が依存するコード - テクノロジメーカのオープンソースソフトウェア依存を初めて見る
- Authors: Cadence Patrick, Kimberly Ruth, Zakir Durumeric,
- Abstract要約: オープンソースソフトウェア(OSS)サプライチェーンのセキュリティは、組織にとって懸念事項となっている。
OSS脆弱性に対処するには、オリジナルのパッケージに加えて、他の依存するソフトウェア製品を更新する必要がある。
どんなパッケージがパッチに最も重要か分からないため、OSSセキュリティの改善に最も必要とされています。
- 参考スコア(独自算出の注目度): 3.6840775431698893
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Open-source software (OSS) supply chain security has become a topic of concern for organizations. Patching an OSS vulnerability can require updating other dependent software products in addition to the original package. However, the landscape of OSS dependencies is not well explored: we do not know what packages are most critical to patch, hindering efforts to improve OSS security where it is most needed. There is thus a need to understand OSS usage in major software and device makers' products. Our work takes a first step toward closing this knowledge gap. We investigate published OSS dependency information for 108 major software and device makers, cataloging how available and how detailed this information is and identifying the OSS packages that appear the most frequently in our data.
- Abstract(参考訳): オープンソースソフトウェア(OSS)サプライチェーンのセキュリティは、組織にとって懸念事項となっている。
OSS脆弱性に対処するには、オリジナルのパッケージに加えて、他の依存するソフトウェア製品を更新する必要がある。
しかしながら、OSS依存関係の状況は十分に調査されていない。どのパッケージがパッチに最も重要かは分かっておらず、OSSセキュリティを最も必要としている場所で改善する努力を妨げる。
したがって、主要なソフトウェアやデバイスメーカーの製品におけるOSSの使用法を理解する必要がある。
私たちの仕事は、この知識ギャップを埋める第一歩を踏み出します。
108のメジャーソフトウェアおよびデバイスメーカに対してOSS依存情報を公開し、その可用性と詳細をカタログ化し、データに最も頻繁に現れるOSSパッケージを識別する。
関連論文リスト
- An Overview and Catalogue of Dependency Challenges in Open Source Software Package Registries [52.23798016734889]
この記事では、OSSパッケージやライブラリに依存する依存関係関連の課題のカタログを提供する。
このカタログは、これらの課題を理解し、定量化し、克服するために行われた経験的研究に関する科学文献に基づいている。
論文 参考訳(メタデータ) (2024-09-27T16:20:20Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。
我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
論文 参考訳(メタデータ) (2024-05-03T07:18:45Z) - Open Source Software (OSS) Transparency for DoD Acquisition [0.0]
Caveat emptor, or let the buyer beware, is common attribute to open source software (OSS)
OSS消費者が製品の生産に使用するプロセス、プロジェクト、およびそれらのプロジェクトによって使用される保護に関する情報を得る上での課題を観察する。
論文 参考訳(メタデータ) (2024-04-25T16:47:34Z) - OSS Malicious Package Analysis in the Wild [17.028240712650486]
本稿では、散在するオンラインソースから23,425の悪意あるパッケージのデータセットを構築し、キュレートする。
次に,OSSマルウェアコーパスを表現し,悪意のあるパッケージ解析を行う知識グラフを提案する。
論文 参考訳(メタデータ) (2024-04-07T15:25:13Z) - Assessing the Threat Level of Software Supply Chains with the Log Model [4.1920378271058425]
全ソフトウェアシステムにおけるフリーおよびオープンソースソフトウェア(FOSS)コンポーネントの使用は90%以上と見積もられている。
本研究は、ログモデルを用いてFOSSサプライチェーンの脅威レベルを評価する新しいアプローチを提案する。
論文 参考訳(メタデータ) (2023-11-20T12:44:37Z) - ThreatKG: An AI-Powered System for Automated Open-Source Cyber Threat Intelligence Gathering and Management [65.0114141380651]
ThreatKGはOSCTIの収集と管理のための自動化システムである。
複数のソースから多数のOSCTIレポートを効率的に収集する。
さまざまな脅威エンティティに関する高品質な知識を抽出するために、AIベースの専門技術を使用する。
論文 参考訳(メタデータ) (2022-12-20T16:13:59Z) - Towards Measuring Vulnerabilities and Exposures in Open-Source Packages [0.0]
私たちは、オープンソースの展望について、最新の概要を提供しています。
本稿では,CVE(Common Vulnerabilities and Exposures)リストのエントリをオープンソースライブラリにマップする方法について議論する。
一般的なプログラミング言語に関して,既存のCVEエントリの頻度と分布を示す。
論文 参考訳(メタデータ) (2022-06-29T10:51:23Z) - Tracking Patches for Open Source Software Vulnerabilities [9.047724746724953]
オープンソースソフトウェア(OSS)の脆弱性は、OSSを使用するソフトウェアシステムのセキュリティを脅かす。
脆弱性データベースの情報品質に対する懸念が高まっている。
論文 参考訳(メタデータ) (2021-12-04T04:39:24Z) - A System for Automated Open-Source Threat Intelligence Gathering and
Management [53.65687495231605]
SecurityKGはOSCTIの収集と管理を自動化するシステムである。
AIとNLP技術を組み合わせて、脅威行動に関する高忠実な知識を抽出する。
論文 参考訳(メタデータ) (2021-01-19T18:31:35Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。