論文の概要: What's in a Package? Getting Visibility Into Dependencies Using Security-Sensitive API Calls

• arxiv url: http://arxiv.org/abs/2408.02846v2
• Date: Tue, 18 Mar 2025 17:57:00 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-03-19 16:29:10.047154
• Title: What's in a Package? Getting Visibility Into Dependencies Using Security-Sensitive API Calls
• Title（参考訳）: パッケージには何があるのか? セキュリティに敏感なAPIコールを使って、依存関係に可視性を持たせる
• Authors: Imranur Rahman, Ranidya Paramitha, Henrik Plate, Dominik Wermke, Laurie Williams,
• Abstract要約: 本稿では,エコシステムのためのセキュリティに敏感なAPIリストを構築するための新しい手法を提案する。 次に、機能的に類似したパッケージグループにおけるセキュリティに敏感なAPIの頻度を比較します。 開発者の半数以上が、もし利用可能であれば、依存関係の選択プロセスでセキュリティに敏感なAPI情報を使用するだろう。
• 参考スコア（独自算出の注目度）: 3.6525326603691504
• License: http://creativecommons.org/licenses/by-sa/4.0/
• Abstract: Knowing what sensitive resources a dependency could potentially access would help developers assess the risk of a dependency before selection. One way to get an understanding of the potential sensitive resource usage by a dependency is using security-sensitive APIs, i.e., the APIs that provide access to security-sensitive resources in a system, e.g., the filesystem or network resources. However, the lack of tools or research providing visibility into potential sensitive resource usage of dependencies makes it hard for developers to use this as a factor in their dependency selection process. The goal of this study is to aid developers in assessing the security risks of their dependencies by identifying security-sensitive APIs in packages through call graph analysis. In this study, we present a novel methodology to construct a security-sensitive API list for an ecosystem to better understand and assess packages before selecting them as a dependency. We implement the methodology in Java. We then compare the prevalence of security-sensitive APIs in functionally similar package groups to understand how different functionally similar packages could be in terms of security-sensitive APIs. We also conducted a developer survey (with 110 respondents) to understand developers' perceptions towards using security-sensitive API information in the dependency selection process. More than half of the developers would use security-sensitive API information in the dependency selection process if available. Finally, we advocate for incorporating security-sensitive API information into dependency management tools for easier access to the developers in the dependency selection process.
• Abstract（参考訳）: 依存関係がどのような機密リソースにアクセスできるかを知ることは、開発者が選択する前に依存関係のリスクを評価するのに役立つだろう。 依存関係によって潜在的にセンシティブなリソース使用の理解を得る方法のひとつは、セキュリティに敏感なAPI、すなわちシステム内のセキュリティに敏感なリソース、例えばファイルシステムやネットワークリソースへのアクセスを提供するAPIを使用することだ。 しかしながら、依存性の機密性の高いリソース使用の可視性を提供するツールや研究の欠如は、開発者が依存関係の選択プロセスの要素としてこれを使用することを困難にしている。 本研究の目的は,コールグラフ解析を通じてパッケージ内のセキュリティに敏感なAPIを特定することで,依存関係のセキュリティリスクを評価することを支援することである。 本研究では,パッケージを依存性として選択する前に,パッケージをよりよく理解し,評価するための,セキュリティに敏感なAPIリストを構築するための新しい手法を提案する。 私たちはその方法論をJavaで実装します。 次に、機能的に類似したパッケージグループにおけるセキュリティに敏感なAPIの頻度を比較して、機能的に類似したパッケージが、セキュリティに敏感なAPIの観点でどのように見えるかを理解する。 また、依存関係の選択プロセスにおいて、セキュリティに敏感なAPI情報を使用することに対する開発者の認識を理解するために、開発者調査(110人の回答者を含む)を実施しました。 開発者の半数以上が、もし利用可能であれば、依存関係の選択プロセスでセキュリティに敏感なAPI情報を使用するだろう。 最後に,セキュリティに敏感なAPI情報を依存性管理ツールに組み込んで,依存関係選択プロセスにおける開発者へのアクセスを容易にすることを提唱する。

関連論文リスト

• Out of Sight, Still at Risk: The Lifecycle of Transitive Vulnerabilities in Maven [0.3670008893193884]
  間接的な依存関係から生じる過渡的脆弱性は、共通脆弱性や露出に関連するリスクにプロジェクトを公開します。 我々は、CVE導入後のプロジェクトの露出時間を測定するためにサバイバル分析を採用している。 Mavenプロジェクトの大規模なデータセットを使用して、これらの脆弱性の解決に影響を及ぼす要因を特定します。
  論文  参考訳（メタデータ） (2025-04-07T07:54:15Z)
• Semantic Dependency in Microservice Architecture: A Framework for Definition and Detection [0.0]
  本稿では,これらの課題に対処する手段としてセマンティック依存行列を紹介する。 これは、これらの隠れた依存関係がエンドポイントデータの依存関係とは独立して存在することを示し、そうでなければ見過ごされる可能性のある重要な接続を明らかにする。
  論文  参考訳（メタデータ） (2025-01-20T23:34:24Z)
• On the Differential Privacy and Interactivity of Privacy Sandbox Reports [78.85958224681858]
  GoogleのPrivacy Sandboxイニシアチブには、プライバシ保護広告機能を実現するAPIが含まれている。 これらのAPIのプライバシを分析するための抽象モデルを提供し、それらが正式なDP保証を満たすことを示す。
  論文  参考訳（メタデータ） (2024-12-22T08:22:57Z)
• ExploraCoder: Advancing code generation for multiple unseen APIs via planning and chained exploration [70.26807758443675]
  ExploraCoderはトレーニング不要のフレームワークで、大規模な言語モデルにコードソリューションで見えないAPIを呼び出す権限を与える。 ExploraCoderは,事前のAPI知識を欠いたモデルのパフォーマンスを著しく向上させ,NAGアプローチの11.24%,pass@10の事前トレーニングメソッドの14.07%を絶対的に向上させることを示す。
  論文  参考訳（メタデータ） (2024-12-06T19:00:15Z)
• A Multi-Agent Approach for REST API Testing with Semantic Graphs and LLM-Driven Inputs [46.65963514391019]
  私たちは、REST APIテストに依存性組み込みのマルチエージェントアプローチを採用する最初のブラックボックスフレームワークであるAutoRestTestを紹介します。 MARL(Multi-Agent Reinforcement Learning)とSPDG(Semantic Property Dependency Graph)とLLM(Large Language Models)を統合した。 このアプローチでは、REST APIテストを、API、依存性、パラメータ、バリューという4つのエージェントが協力して、API探索を最適化する、分離可能な問題として扱います。
  論文  参考訳（メタデータ） (2024-11-11T16:20:27Z)
• A Systematic Evaluation of Large Code Models in API Suggestion: When, Which, and How [53.65636914757381]
  API提案は、現代のソフトウェア開発において重要なタスクである。 大規模コードモデル(LCM)の最近の進歩は、API提案タスクにおいて有望であることを示している。
  論文  参考訳（メタデータ） (2024-09-20T03:12:35Z)
• Cognitive Kernel: An Open-source Agent System towards Generalist Autopilots [54.55088169443828]
  我々は,ジェネラリストオートパイロットの目標に向けて,オープンソースのエージェントシステムであるCognitive Kernelを紹介する。 主にユーザーに依存して必要な状態情報を提供する自動操縦システムとは異なり、自動操縦システムは独立してタスクを完了しなければならない。 これを実現するために、自動操縦システムでは、ユーザの意図を理解し、様々な現実世界の情報源から必要な情報を積極的に収集し、賢明な判断をする必要がある。
  論文  参考訳（メタデータ） (2024-09-16T13:39:05Z)
• ToolACE: Winning the Points of LLM Function Calling [139.07157814653638]
  ToolACEは、正確で複雑で多様なツール学習データを生成するように設計された自動エージェントパイプラインである。 我々は、合成データに基づいてトレーニングされたモデルが、8Bパラメータだけで、バークレー・ファンクション・カリング・リーダーボード上で最先端のパフォーマンスを達成することを実証した。
  論文  参考訳（メタデータ） (2024-09-02T03:19:56Z)
• WorldAPIs: The World Is Worth How Many APIs? A Thought Experiment [49.00213183302225]
  本稿では, wikiHow 命令をエージェントの配置ポリシーに基礎付けることで, 新たな API を創出するフレームワークを提案する。 大規模言語モデル (LLM) の具体化計画における近年の成功に触発されて, GPT-4 のステアリングを目的とした数発のプロンプトを提案する。
  論文  参考訳（メタデータ） (2024-07-10T15:52:44Z)
• A Solution-based LLM API-using Methodology for Academic Information Seeking [49.096714812902576]
  SoAyは学術情報検索のためのソリューションベースのLLM API利用方法論である。 ソリューションが事前に構築されたAPI呼び出しシーケンスである場合、推論メソッドとしてソリューションを備えたコードを使用する。 その結果、最先端のLLM APIベースのベースラインと比較して34.58-75.99%のパフォーマンス改善が見られた。
  論文  参考訳（メタデータ） (2024-05-24T02:44:14Z)
• Contextual API Completion for Unseen Repositories Using LLMs [6.518508607788089]
  本稿では,API補完タスクのためのコードリポジトリ内で,グローバルおよびローカルなコンテキスト情報を活用することで幻覚を緩和する新しい手法を提案する。 当社のアプローチは、ローカルAPI補完の最適化に重点を置いて、コード補完タスクの洗練に適合しています。 私たちのツールであるLANCEは、APIトークンの補完と会話APIの補完で、Copilotを143%、Copilotを142%上回っています。
  論文  参考訳（メタデータ） (2024-05-07T18:22:28Z)
• DONAPI: Malicious NPM Packages Detector using Behavior Sequence Knowledge Mapping [28.852274185512236]
  npmは最も広範なパッケージマネージャであり、200万人以上のサードパーティのオープンソースパッケージをホストしている。 本稿では,340万以上のパッケージを含むローカルパッケージキャッシュをほぼリアルタイムで同期させ,より詳細なパッケージコードにアクセスできるようにする。 静的解析と動的解析を組み合わせた自動悪質npmパッケージ検出器であるDONAPIを提案する。
  論文  参考訳（メタデータ） (2024-03-13T08:38:21Z)
• Lightweight Syntactic API Usage Analysis with UCov [0.0]
  本稿では,ライブラリメンテナのAPIによるインタラクション理解を支援するための,新しい概念フレームワークを提案する。 これらのカスタマイズ可能なモデルにより、ライブラリメンテナはリリース前に設計を改善することができ、進化中の摩擦を減らすことができる。 我々は,これらのモデルを新しいツールUCovに実装し,多様なインタラクションスタイルを示す3つのライブラリ上でその能力を実証する。
  論文  参考訳（メタデータ） (2024-02-19T10:33:41Z)
• Finding Vulnerabilities in Mobile Application APIs: A Modular Programmatic Approach [0.0]
  アプリケーションプログラミングインタフェース(API)は、さまざまなモバイルアプリケーションでデータを転送するのにますます人気になっている。 これらのAPIはエンドポイントを通じてセンシティブなユーザ情報を処理します。 本稿では,様々なモバイルAndroidアプリケーションの情報漏洩を分析するために,モジュール型エンドポイント脆弱性検出ツールを開発した。
  論文  参考訳（メタデータ） (2023-10-22T00:08:51Z)
• Dependency Practices for Vulnerability Mitigation [4.710141711181836]
  npmエコシステムの450以上の脆弱性を分析し、依存するパッケージが脆弱なままである理由を理解します。 依存関係によって感染した20万以上のnpmパッケージを特定します。 私たちは9つの機能を使って、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築しています。
  論文  参考訳（メタデータ） (2023-10-11T19:48:46Z)
• APICom: Automatic API Completion via Prompt Learning and Adversarial Training-based Data Augmentation [6.029137544885093]
  APIレコメンデーションは、開発者が多数の候補APIの中で必要なAPIを見つけるのを支援するプロセスである。 これまでの研究では、主にAPIレコメンデーションをレコメンデーションタスクとしてモデル化していた。 ニューラルネットワーク翻訳研究領域に動機づけられたこの問題を生成タスクとしてモデル化することができる。 提案手法は,プロンプト学習に基づく新しいアプローチAPIComを提案し,そのプロンプトに応じてクエリに関連するAPIを生成する。
  論文  参考訳（メタデータ） (2023-09-13T15:31:50Z)
• Adaptive REST API Testing with Reinforcement Learning [54.68542517176757]
  現在のテストツールは効率的な探索機構がなく、全ての操作とパラメータを等しく扱う。 現在のツールは、仕様にレスポンススキーマがない場合や、変種を示す場合に苦労している。 我々は、強化学習を取り入れた適応型REST APIテスト手法を提案し、探索中の操作を優先順位付けする。
  論文  参考訳（メタデータ） (2023-09-08T20:27:05Z)
• Private-Library-Oriented Code Generation with Large Language Models [52.73999698194344]
  本稿では,大規模言語モデル(LLM)をプライベートライブラリのコード生成に活用することに焦点を当てる。 プログラマがプライベートコードを書く過程をエミュレートする新しいフレームワークを提案する。 TorchDataEval、TorchDataComplexEval、MonkeyEval、BeatNumEvalの4つのプライベートライブラリベンチマークを作成しました。
  論文  参考訳（メタデータ） (2023-07-28T07:43:13Z)
• Analyzing Maintenance Activities of Software Libraries [55.2480439325792]
  近年、産業アプリケーションはオープンソースソフトウェアライブラリを深く統合している。 産業アプリケーションに対する自動監視アプローチを導入して、オープンソース依存関係を特定し、その現状や将来的なメンテナンス活動に関するネガティブな兆候を示したいと思っています。
  論文  参考訳（メタデータ） (2023-06-09T16:51:25Z)
• OpenAPI Specification Extended Security Scheme: A method to reduce the prevalence of Broken Object Level Authorization [0.0]
  API Securityは、OpenAPI標準の標準化された承認が欠如していることを考えると、懸念すべきトピックである。 本稿では,APIセキュリティにおける第1の脆弱性として,Broken Object Level Authorization(BOLA)について検討する。
  論文  参考訳（メタデータ） (2022-12-13T14:28:06Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。