論文の概要: Tracking Down Software Cluster Bombs: A Current State Analysis of the Free/Libre and Open Source Software (FLOSS) Ecosystem

• arxiv url: http://arxiv.org/abs/2502.08219v1
• Date: Wed, 12 Feb 2025 08:57:57 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-02-13 13:50:12.247663
• Title: Tracking Down Software Cluster Bombs: A Current State Analysis of the Free/Libre and Open Source Software (FLOSS) Ecosystem
• Title（参考訳）: ソフトウェアクラスタ爆弾の追跡 - FLOSS(Free/Libre and Open Source Software)エコシステムの現状分析
• Authors: Stefan Tatschner, Michael P. Heinl, Nicole Pappler, Tobias Specht, Sven Plaga, Thomas Newe,
• Abstract要約: 本稿では,FLOSSパッケージリポジトリの現状について概説する。 ソフトウェアエコシステム内の問題領域を特定するという課題に対処する。 その結果,FLOSSエコシステム内には保守性の高いプロジェクトが存在する一方で,サプライチェーンアタックの影響を受けやすいプロジェクトも存在していることが示唆された。
• 参考スコア（独自算出の注目度）: 0.43981305860983705
• License:
• Abstract: Throughout computer history, it has been repeatedly demonstrated that critical software vulnerabilities can significantly affect the components involved. In the Free/Libre and Open Source Software (FLOSS) ecosystem, most software is distributed through package repositories. Nowadays, monitoring critical dependencies in a software system is essential for maintaining robust security practices. This is particularly important due to new legal requirements, such as the European Cyber Resilience Act, which necessitate that software projects maintain a transparent track record with Software Bill of Materials (SBOM) and ensure a good overall state. This study provides a summary of the current state of available FLOSS package repositories and addresses the challenge of identifying problematic areas within a software ecosystem. These areas are analyzed in detail, quantifying the current state of the FLOSS ecosystem. The results indicate that while there are well-maintained projects within the FLOSS ecosystem, there are also high-impact projects that are susceptible to supply chain attacks. This study proposes a method for analyzing the current state and identifies missing elements, such as interfaces, for future research.
• Abstract（参考訳）: コンピュータの歴史を通じて、重要なソフトウェア脆弱性が関係するコンポーネントに重大な影響を与えることが繰り返し実証されてきた。 Free/Libre and Open Source Software (FLOSS)エコシステムでは、ほとんどのソフトウェアはパッケージリポジトリを通して配布されている。 今日では、堅牢なセキュリティプラクティスを維持するために、ソフトウェアシステムにおける重要な依存関係を監視することが不可欠です。 欧州サイバーレジリエンス法 (European Cyber Resilience Act) は、ソフトウェアプロジェクトがSoftware Bill of Materials (SBOM) で透明なトラック記録を保持し、完全な状態を保証する必要がある。 本稿では,FLOSSパッケージリポジトリの現状を概説し,ソフトウェアエコシステム内の問題領域を特定するという課題に対処する。 これらの領域は詳細に分析され、FLOSSエコシステムの現状を定量化している。 その結果,FLOSSエコシステム内には保守性の高いプロジェクトが存在する一方で,サプライチェーンアタックの影響を受けやすいプロジェクトも存在していることが示唆された。 本研究では,現状を解析し,インターフェースなどの欠落要素を同定する手法を提案する。

関連論文リスト

• A Machine Learning-Based Approach For Detecting Malicious PyPI Packages [4.311626046942916]
  現代のソフトウェア開発では、外部ライブラリやパッケージの使用が増えている。 この再利用コードへの依存は、悪意のあるパッケージという形でデプロイされたソフトウェアに重大なリスクをもたらす。 本稿では、機械学習と静的解析を用いて、パッケージのメタデータ、コード、ファイル、テキストの特徴を調べるデータ駆動型アプローチを提案する。
  論文  参考訳（メタデータ） (2024-12-06T18:49:06Z)
• OSPtrack: A Labeled Dataset Targeting Simulated Execution of Open-Source Software [0.0]
  このデータセットには9,461のパッケージレポートが含まれており、そのうち1,962が悪意のあるものである。 データセットには、ファイル、ソケット、コマンド、DNSレコードなどの静的および動的機能が含まれている。 このデータセットは実行時検出をサポートし、検出モデルトレーニングを強化し、エコシステム間の効率的な比較分析を可能にする。
  論文  参考訳（メタデータ） (2024-11-22T10:07:42Z)
• An Overview and Catalogue of Dependency Challenges in Open Source Software Package Registries [52.23798016734889]
  この記事では、OSSパッケージやライブラリに依存する依存関係関連の課題のカタログを提供する。 このカタログは、これらの課題を理解し、定量化し、克服するために行われた経験的研究に関する科学文献に基づいている。
  論文  参考訳（メタデータ） (2024-09-27T16:20:20Z)
• The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
  Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。 現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。 提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
  論文  参考訳（メタデータ） (2024-09-10T10:12:37Z)
• Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
  ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。 我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
  論文  参考訳（メタデータ） (2024-05-03T07:18:45Z)
• DevPhish: Exploring Social Engineering in Software Supply Chain Attacks on Developers [0.3754193239793766]
  敵はソフトウェア開発者に特化した社会工学(SocE)技術を利用する。 本稿では、ソフトウェア技術者(SWE)を騙して悪意あるソフトウェアを届けるために、敵が採用している既存のSocE戦術を包括的に探求することを目的とする。
  論文  参考訳（メタデータ） (2024-02-28T15:24:43Z)
• A Landscape Study of Open Source and Proprietary Tools for Software Bill of Materials (SBOM) [3.1190983209295076]
  Software Bill of Materials (SBOM) は、アプリケーションで使用されるすべてのサードパーティのコンポーネントと依存関係を在庫するリポジトリである。 最近のサプライチェーンの侵害は、ソフトウェアのセキュリティと脆弱性のリスクを高める緊急の必要性を浮き彫りにしている。 本研究では,SBOMに関連するオープンソースおよびプロプライエタリツールの現在の状況を評価するための実証分析を行う。
  論文  参考訳（メタデータ） (2024-02-17T00:36:20Z)
• Assessing the Threat Level of Software Supply Chains with the Log Model [4.1920378271058425]
  全ソフトウェアシステムにおけるフリーおよびオープンソースソフトウェア(FOSS)コンポーネントの使用は90%以上と見積もられている。 本研究は、ログモデルを用いてFOSSサプライチェーンの脅威レベルを評価する新しいアプローチを提案する。
  論文  参考訳（メタデータ） (2023-11-20T12:44:37Z)
• Using Machine Learning To Identify Software Weaknesses From Software Requirement Specifications [49.1574468325115]
  本研究は、要求仕様からソフトウェア弱点を特定するための効率的な機械学習アルゴリズムを見つけることに焦点を当てる。 ProMISE_exp. Naive Bayes、サポートベクターマシン(SVM)、決定木、ニューラルネットワーク、畳み込みニューラルネットワーク(CNN)アルゴリズムをテストした。
  論文  参考訳（メタデータ） (2023-08-10T13:19:10Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)
• Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
  大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。 我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。 我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
  論文  参考訳（メタデータ） (2020-10-19T13:09:31Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。