論文の概要: Trusting code in the wild: Exploring contributor reputation measures to review dependencies in the Rust ecosystem
- arxiv url: http://arxiv.org/abs/2406.10317v1
- Date: Fri, 14 Jun 2024 16:13:58 GMT
- ステータス: 処理完了
- システム内更新日: 2024-06-19 01:01:54.709383
- Title: Trusting code in the wild: Exploring contributor reputation measures to review dependencies in the Rust ecosystem
- Title(参考訳): コードを信頼する - Rustエコシステムの依存関係をレビューするためのコントリビュータの評価尺度を探る
- Authors: Sivana Hamer, Nasif Imtiaz, Mahzabin Tamanna, Preya Shabrina, Laurie Williams,
- Abstract要約: ネットワーク集中度尺度を用いて、協力活動を用いたコントリビュータの評判を推し進める。
パッケージの追加や更新を行う前に,依存関係をレビューする回答者は24%に過ぎません。
GitHub、Rust、npmといったエコシステムは、依存関係レビューで開発者を支援するために、コントリビュータの評価バッジを実装することを推奨しています。
- 参考スコア(独自算出の注目度): 1.0310977366592338
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Developers rely on open-source packages and must review dependencies to safeguard against vulnerable or malicious upstream code. A careful review of all dependencies changes often does not occur in practice. Therefore, developers need signals to inform of dependency changes that require additional examination. The goal of this study is to help developers prioritize dependency review efforts by analyzing contributor reputation measures as a signal. We use network centrality measures to proxy contributor reputation using collaboration activity. We employ a mixed method methodology from the top 1,644 packages in the Rust ecosystem to build a network of 6,949 developers, survey 285 developers, and model 5 centrality measures. We find that only 24% of respondents often review dependencies before adding or updating a package, mentioning difficulties in the review process. Additionally, 51% of respondents often consider contributor reputation when reviewing dependencies. The closeness centrality measure is a significant factor in explaining how developers review dependencies. Yet, centrality measures alone do not account for how developers choose to review dependencies. We recommend that ecosystems like GitHub, Rust, and npm implement a contributor reputation badge based on our modeled coefficients to aid developers in dependency reviews.
- Abstract(参考訳): 開発者はオープンソースパッケージに依存しており、脆弱性のあるあるいは悪意のある上流コードに対する保護のために依存関係をレビューする必要がある。
すべての依存関係の変更を慎重にレビューすることは、実際には行われないことが多い。
そのため開発者は、追加の検査を必要とする依存関係の変更を通知する信号が必要である。
本研究の目的は,コントリビュータの評価尺度を信号として分析することで,依存関係レビューの取り組みの優先順位付けを支援することである。
ネットワーク集中度尺度を用いて、協力活動を用いたコントリビュータの評判を推し進める。
Rustエコシステムの上位1,644パッケージから混合メソッドメソッドを使用して、6,949人の開発者、調査285人の開発者、モデル5の集中度測定のネットワークを構築しています。
レビュープロセスの難しさに言及して,パッケージの追加や更新を行う前に,依存関係をレビューする回答者は24%に過ぎません。
さらに、回答者の51%は、依存関係をレビューする際のコントリビュータの評価をよく検討している。
クローズネスの集中度尺度は、開発者が依存関係をどのようにレビューするかを説明する上で重要な要素である。
しかし、集中度対策だけでは、開発者が依存関係をレビューする方法を説明できない。
GitHub、Rust、npmといったエコシステムは、開発者が依存性レビューを支援するために、モデル化された係数に基づいてコントリビュータの評価バッジを実装することを推奨しています。
関連論文リスト
- Understanding Code Understandability Improvements in Code Reviews [79.16476505761582]
GitHub上のJavaオープンソースプロジェクトからの2,401のコードレビューコメントを分析した。
改善提案の83.9%が承認され、統合され、1%未満が後に復活した。
論文 参考訳(メタデータ) (2024-10-29T12:21:23Z) - Criticality and Safety Margins for Reinforcement Learning [53.10194953873209]
我々は,定量化基盤真理とユーザにとっての明確な意義の両面から,批判的枠組みを定めようとしている。
エージェントがn連続的ランダム動作に対するポリシーから逸脱した場合の報酬の減少として真臨界を導入する。
我々はまた、真の臨界と統計的に単調な関係を持つ低オーバーヘッド計量であるプロキシ臨界の概念も導入する。
論文 参考訳(メタデータ) (2024-09-26T21:00:45Z) - How to Understand Whole Software Repository? [64.19431011897515]
リポジトリ全体に対する優れた理解は、自動ソフトウェアエンジニアリング(ASE)への重要な道になるでしょう。
本研究では,リポジトリ全体を包括的に理解するためのエージェントによるRepoUnderstanderという新しい手法を開発した。
リポジトリレベルの知識をより活用するために、エージェントをまとめ、分析し、計画する。
論文 参考訳(メタデータ) (2024-06-03T15:20:06Z) - An empirical study of bloated dependencies in CommonJS packages [6.115666382910127]
サーバサイドアプリケーションで完全に使用されていない肥大化した依存関係を調査するために、実証的研究を行う。
本稿では,ファイルアクセスを監視し,実行中にどの依存関係がアクセスされないかを決定するトレースベースの動的解析手法を提案する。
以上の結果から,パッケージマネージャにおける依存性のデブロ化に対するネイティブサポートは,依存関係維持の負担を大幅に軽減する可能性が示唆された。
論文 参考訳(メタデータ) (2024-05-28T08:04:01Z) - See to Believe: Using Visualization To Motivate Updating Third-party Dependencies [1.7914660044009358]
サードパーティの依存関係を使用したアプリケーションによって導入されたセキュリティ脆弱性が増加している。
開発者はライブラリのアップデートに注意を払っており、脆弱性の修正にも注意している。
本稿では、依存性グラフ可視化(DGV)アプローチが、開発者が更新を動機付けると仮定する。
論文 参考訳(メタデータ) (2024-05-15T03:57:27Z) - Empirical Analysis of Vulnerabilities Life Cycle in Golang Ecosystem [0.773844059806915]
Golangの脆弱性のライフサイクルを総合的に調査した。
その結果、Golangエコシステムの66.10%のモジュールが脆弱性の影響を受けていることがわかった。
タグ付けされていない脆弱性やラベル付けされていない脆弱性の背後にある理由を分析することで、タイムリーリリースとインデクシングのパッチバージョンは、エコシステムのセキュリティを著しく向上させる可能性がある。
論文 参考訳(メタデータ) (2023-12-31T14:53:51Z) - Dependency Practices for Vulnerability Mitigation [4.710141711181836]
npmエコシステムの450以上の脆弱性を分析し、依存するパッケージが脆弱なままである理由を理解します。
依存関係によって感染した20万以上のnpmパッケージを特定します。
私たちは9つの機能を使って、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築しています。
論文 参考訳(メタデータ) (2023-10-11T19:48:46Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z) - Trusting code in the wild: A social network-based centrality rating for
developers in the Rust ecosystem [1.3581810800092387]
この調査では,1,644のRustパッケージからのコラボレーション活動を通じて,6,949人の開発者によるソーシャルネットワークを構築している。
私たちは、より集中度の高い開発者から来るコードが、下流プロジェクトによるより少ない精査で受け入れられるかどうかを評価します。
論文 参考訳(メタデータ) (2023-05-31T23:24:03Z) - Deep Just-In-Time Inconsistency Detection Between Comments and Source
Code [51.00904399653609]
本稿では,コード本体の変更によりコメントが矛盾するかどうかを検出することを目的とする。
私たちは、コメントとコードの変更を関連付けるディープラーニングアプローチを開発しています。
より包括的な自動コメント更新システムを構築するために,コメント更新モデルと組み合わせて提案手法の有用性を示す。
論文 参考訳(メタデータ) (2020-10-04T16:49:28Z) - Automating App Review Response Generation [67.58267006314415]
本稿では,レビューと回答の知識関係を学習することで,レビュー応答を自動的に生成する新しいアプローチRRGenを提案する。
58のアプリと309,246のレビュー-レスポンスペアの実験では、RRGenはBLEU-4の点で少なくとも67.4%のベースラインを上回っている。
論文 参考訳(メタデータ) (2020-02-10T05:23:38Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。