論文の概要: Opportunities and Security Risks of Technical Leverage: A Replication Study on the NPM Ecosystem

• arxiv url: http://arxiv.org/abs/2412.06948v1
• Date: Mon, 09 Dec 2024 19:51:46 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-12-11 14:38:33.876454
• Title: Opportunities and Security Risks of Technical Leverage: A Replication Study on the NPM Ecosystem
• Title（参考訳）: 技術レバレッジの機会とセキュリティリスク:NPM生態系のレプリケーション研究
• Authors: Haya Samaana, Diego Elias Costa, Ahmad Abdellatif, Emad Shihab,
• Abstract要約: フリーのオープンソースソフトウェア(FOSS)コードの再利用は、生産性と提供ソフトウェアの品質を向上させることができる。 しかし、FOSSの再利用は、ソフトウェアプロジェクトを公開脆弱性に晒すリスクがある。 技術的レバレッジのレンズを通して、Javaエコシステムにおけるトレードオフを調査します。
• 参考スコア（独自算出の注目度）: 4.311626046942916
• License:
• Abstract: To comply with high productivity demands, software developers reuse free open-source software (FOSS) code to avoid reinventing the wheel when incorporating software features. The reliance on FOSS reuse has been shown to improve productivity and the quality of delivered software; however, reusing FOSS comes at the risk of exposing software projects to public vulnerabilities. Massacci and Pashchenko have explored this trade-off in the Java ecosystem through the lens of technical leverage: the ratio of code borrowed from FOSS over the code developed by project maintainers. In this paper, we replicate the work of Massacci and Pashchenko and we expand the analysis to include level-1 transitive dependencies to study technical leverage in the fastest-growing NPM ecosystem. We investigated 14,042 NPM library releases and found that both opportunities and risks of technical leverage are magnified in the NPM ecosystem. Small-medium libraries leverage 2.5x more code from FOSS than their code, while large libraries leverage only 3\% of FOSS code in their projects. Our models indicate that technical leverage shortens the release cycle for small-medium libraries. However, the risk of vulnerability exposure is 4-7x higher for libraries with high technical leverage. We also expanded our replication study to include the first level of transitive dependencies, and show that the results still hold, albeit with significant changes in the magnitude of both opportunities and risks of technical leverage. Our results indicate the extremes of opportunities and risks in NPM, where high technical leverage enables fast releases but comes at the cost of security risks.
• Abstract（参考訳）: 高い生産性の要求を満たすため、ソフトウェア開発者はフリーのオープンソースソフトウェア(FOSS)コードを再利用し、ソフトウェア機能を組み込む際の車輪の再発明を避ける。 FOSSの再利用への依存は、生産性とソフトウェアの品質を向上させることが示されているが、FOSSの再利用は、ソフトウェアプロジェクトを公開脆弱性に晒すリスクが伴う。 Massacci氏とPashchenko氏は、技術的レバレッジのレンズを通じて、Javaエコシステムにおけるこのトレードオフを調査した。 本稿では,Massacci と Pashchenko の業績を再現し,その分析を拡張して,成長速度の速い NPM エコシステムにおける技術的レバレッジの研究を行う。 14,042のNPMライブラリリリースを調査し,NPMエコシステムにおいて技術的レバレッジの機会とリスクが拡大されることを発見した。 小規模なライブラリはFOSSの2.5倍のコードを利用するが、大規模なライブラリはFOSSのコードのわずか3倍のコードしか利用しない。 我々のモデルは、技術レバレッジが小さなライブラリのリリースサイクルを短縮することを示している。 しかし、高い技術的レバレッジを持つライブラリでは、脆弱性暴露のリスクは4～7倍になる。 また、複製研究を第1段階の推移的依存関係を含むように拡張し、その結果が依然として保たれており、技術的レバレッジの機会とリスクの両方に大きな変化があることを示した。 我々の結果は、高い技術的レバレッジが迅速なリリースを可能にするが、セキュリティリスクの犠牲となるNPMの機会とリスクの極端さを示している。

関連論文リスト

• Tracking Down Software Cluster Bombs: A Current State Analysis of the Free/Libre and Open Source Software (FLOSS) Ecosystem [0.43981305860983705]
  本稿では,FLOSSパッケージリポジトリの現状について概説する。 ソフトウェアエコシステム内の問題領域を特定するという課題に対処する。 その結果,FLOSSエコシステム内には保守性の高いプロジェクトが存在する一方で,サプライチェーンアタックの影響を受けやすいプロジェクトも存在していることが示唆された。
  論文  参考訳（メタデータ） (2025-02-12T08:57:57Z)
• OpenCoder: The Open Cookbook for Top-Tier Code Large Language Models [70.72097493954067]
  コードのための大規模言語モデル(LLM)は、コード生成、推論タスク、エージェントシステムなど、さまざまな領域で必須になっている。 オープンアクセスのコード LLM はプロプライエタリなモデルの性能レベルに近づきつつあるが、高品質なコード LLM は依然として限られている。 トップクラスのコードLLMであるOpenCoderは、主要なモデルに匹敵するパフォーマンスを達成するだけでなく、研究コミュニティの"オープンクックブック"としても機能します。
  論文  参考訳（メタデータ） (2024-11-07T17:47:25Z)
• Read-ME: Refactorizing LLMs as Router-Decoupled Mixture of Experts with System Co-Design [59.00758127310582]
  本稿では、事前学習された高密度LCMをより小さなMoEモデルに変換する新しいフレームワークRead-MEを提案する。 当社のアプローチでは,専門家の抽出にアクティベーション空間を用いる。 Read-MEは、同様のスケールの他の人気のあるオープンソース高密度モデルよりも優れています。
  論文  参考訳（メタデータ） (2024-10-24T19:48:51Z)
• HexaCoder: Secure Code Generation via Oracle-Guided Synthetic Training Data [60.75578581719921]
  大規模言語モデル(LLM)は、自動コード生成に大きな可能性を示している。 最近の研究は、多くのLLM生成コードが深刻なセキュリティ脆弱性を含んでいることを強調している。 我々は,LLMがセキュアなコードを生成する能力を高めるための新しいアプローチであるHexaCoderを紹介する。
  論文  参考訳（メタデータ） (2024-09-10T12:01:43Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• An Effective Software Risk Prediction Management Analysis of Data Using Machine Learning and Data Mining Method [10.608932697201274]
  ソフトウェアプロジェクトのリスクの適切な優先順位付けは、ソフトウェアプロジェクトのパフォーマンス機能と最終的な成功を確認する上で重要な要素である。 本稿では,最新の最先端WF攻撃モデルの相互依存性をキャプチャする逐次拡張パラメータ最適化手法を提案する。 NASA 93のデータセットと93のソフトウェアプロジェクトによる実験的な検証が行われた。
  論文  参考訳（メタデータ） (2024-06-13T04:11:01Z)
• Causative Insights into Open Source Software Security using Large Language Code Embeddings and Semantic Vulnerability Graph [3.623199159688412]
  オープンソースソフトウェア(OSS)の脆弱性は、不正アクセス、データ漏洩、ネットワーク障害、プライバシー侵害を引き起こす可能性がある。 最近のディープラーニング技術は、ソースコードの脆弱性を特定し、ローカライズする上で大きな可能性を示しています。 本研究は,従来の方法に比べてコード修復能力が24%向上したことを示す。
  論文  参考訳（メタデータ） (2024-01-13T10:33:22Z)
• Code Ownership in Open-Source AI Software Security [18.779538756226298]
  コードオーナシップのメトリクスを使用して、5つの著名なオープンソースAIソフトウェアプロジェクトにおける潜在的な脆弱性との相関を調査します。 この結果は、ハイレベルなオーナシップ(マイナーなコントリビュータの数が限られている)と脆弱性の減少との間に肯定的な関係があることを示唆している。 これらの新しいコードオーナシップメトリクスによって、プロジェクトキュレーターや品質保証の専門家が現場プロジェクトを評価し、ベンチマークするのを助けるために、Pythonベースのコマンドラインアプリケーションを実装しました。
  論文  参考訳（メタデータ） (2023-12-18T00:37:29Z)
• Using Machine Learning To Identify Software Weaknesses From Software Requirement Specifications [49.1574468325115]
  本研究は、要求仕様からソフトウェア弱点を特定するための効率的な機械学習アルゴリズムを見つけることに焦点を当てる。 ProMISE_exp. Naive Bayes、サポートベクターマシン(SVM)、決定木、ニューラルネットワーク、畳み込みニューラルネットワーク(CNN)アルゴリズムをテストした。
  論文  参考訳（メタデータ） (2023-08-10T13:19:10Z)
• Cross Project Software Vulnerability Detection via Domain Adaptation and Max-Margin Principle [21.684043656053106]
  ソフトウェア脆弱性(SV)は、コンピュータソフトウェアの普及により、一般的で深刻な問題となっている。 これら2つの重要な問題に対処するための新しいエンドツーエンドアプローチを提案する。 提案手法は, SVDにおける最重要尺度であるF1尺度の精度を, 使用データセットの2番目に高い手法と比較して1.83%から6.25%に向上させる。
  論文  参考訳（メタデータ） (2022-09-19T23:47:22Z)
• ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning [80.85273827468063]
  既存の機械学習ベースの脆弱性検出方法は制限され、スマートコントラクトが脆弱かどうかのみ検査される。 スマートコントラクトのための初のDeep Neural Network(DNN)ベースの脆弱性検出フレームワークであるESCORTを提案する。 ESCORTは6種類の脆弱性に対して平均95%のF1スコアを達成し,検出時間は契約あたり0.02秒であることを示す。
  論文  参考訳（メタデータ） (2021-03-23T15:04:44Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。