論文の概要: The Code the World Depends On: A First Look at Technology Makers' Open Source Software Dependencies
- arxiv url: http://arxiv.org/abs/2404.11763v1
- Date: Wed, 17 Apr 2024 21:44:38 GMT
- ステータス: 処理完了
- システム内更新日: 2024-04-19 20:00:41.795854
- Title: The Code the World Depends On: A First Look at Technology Makers' Open Source Software Dependencies
- Title(参考訳): 世界が依存するコード - テクノロジメーカのオープンソースソフトウェア依存を初めて見る
- Authors: Cadence Patrick, Kimberly Ruth, Zakir Durumeric,
- Abstract要約: オープンソースソフトウェア(OSS)サプライチェーンのセキュリティは、組織にとって懸念事項となっている。
OSS脆弱性に対処するには、オリジナルのパッケージに加えて、他の依存するソフトウェア製品を更新する必要がある。
どんなパッケージがパッチに最も重要か分からないため、OSSセキュリティの改善に最も必要とされています。
- 参考スコア(独自算出の注目度): 3.6840775431698893
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Open-source software (OSS) supply chain security has become a topic of concern for organizations. Patching an OSS vulnerability can require updating other dependent software products in addition to the original package. However, the landscape of OSS dependencies is not well explored: we do not know what packages are most critical to patch, hindering efforts to improve OSS security where it is most needed. There is thus a need to understand OSS usage in major software and device makers' products. Our work takes a first step toward closing this knowledge gap. We investigate published OSS dependency information for 108 major software and device makers, cataloging how available and how detailed this information is and identifying the OSS packages that appear the most frequently in our data.
- Abstract(参考訳): オープンソースソフトウェア(OSS)サプライチェーンのセキュリティは、組織にとって懸念事項となっている。
OSS脆弱性に対処するには、オリジナルのパッケージに加えて、他の依存するソフトウェア製品を更新する必要がある。
しかしながら、OSS依存関係の状況は十分に調査されていない。どのパッケージがパッチに最も重要かは分かっておらず、OSSセキュリティを最も必要としている場所で改善する努力を妨げる。
したがって、主要なソフトウェアやデバイスメーカーの製品におけるOSSの使用法を理解する必要がある。
私たちの仕事は、この知識ギャップを埋める第一歩を踏み出します。
108のメジャーソフトウェアおよびデバイスメーカに対してOSS依存情報を公開し、その可用性と詳細をカタログ化し、データに最も頻繁に現れるOSSパッケージを識別する。
関連論文リスト
- Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。
我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
論文 参考訳(メタデータ) (2024-05-03T07:18:45Z) - Open Source Software (OSS) Transparency for DoD Acquisition [0.0]
Caveat emptor, or let the buyer beware, is common attribute to open source software (OSS)
OSS消費者が製品の生産に使用するプロセス、プロジェクト、およびそれらのプロジェクトによって使用される保護に関する情報を得る上での課題を観察する。
論文 参考訳(メタデータ) (2024-04-25T16:47:34Z) - OSS Malicious Package Analysis in the Wild [17.028240712650486]
本稿では、散在するオンラインソースから23,425の悪意あるパッケージのデータセットを構築し、キュレートする。
次に,OSSマルウェアコーパスを表現し,悪意のあるパッケージ解析を行う知識グラフを提案する。
論文 参考訳(メタデータ) (2024-04-07T15:25:13Z) - Assessing the Threat Level of Software Supply Chains with the Log Model [4.1920378271058425]
全ソフトウェアシステムにおけるフリーおよびオープンソースソフトウェア(FOSS)コンポーネントの使用は90%以上と見積もられている。
本研究は、ログモデルを用いてFOSSサプライチェーンの脅威レベルを評価する新しいアプローチを提案する。
論文 参考訳(メタデータ) (2023-11-20T12:44:37Z) - SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。
SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。
我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
論文 参考訳(メタデータ) (2023-09-26T08:11:38Z) - Analyzing Maintenance Activities of Software Libraries [65.268245109828]
近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。
産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
論文 参考訳(メタデータ) (2023-06-09T16:51:25Z) - Towards Measuring Vulnerabilities and Exposures in Open-Source Packages [0.0]
私たちは、オープンソースの展望について、最新の概要を提供しています。
本稿では,CVE(Common Vulnerabilities and Exposures)リストのエントリをオープンソースライブラリにマップする方法について議論する。
一般的なプログラミング言語に関して,既存のCVEエントリの頻度と分布を示す。
論文 参考訳(メタデータ) (2022-06-29T10:51:23Z) - Tracking Patches for Open Source Software Vulnerabilities [9.047724746724953]
オープンソースソフトウェア(OSS)の脆弱性は、OSSを使用するソフトウェアシステムのセキュリティを脅かす。
脆弱性データベースの情報品質に対する懸念が高まっている。
論文 参考訳(メタデータ) (2021-12-04T04:39:24Z) - Will bots take over the supply chain? Revisiting Agent-based supply
chain automation [71.77396882936951]
エージェントベースのサプライチェーンは2000年初頭から提案されている。
エージェントベースの技術は成熟しており、サプライチェーンに浸透している他の支援技術はギャップを埋めている。
例えば、IoTテクノロジのユビキティは、エージェントがサプライチェーンの状態を“理解”し、自動化のための新たな可能性を開くのに役立つ。
論文 参考訳(メタデータ) (2021-09-03T18:44:26Z) - A System for Automated Open-Source Threat Intelligence Gathering and
Management [53.65687495231605]
SecurityKGはOSCTIの収集と管理を自動化するシステムである。
AIとNLP技術を組み合わせて、脅威行動に関する高忠実な知識を抽出する。
論文 参考訳(メタデータ) (2021-01-19T18:31:35Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。