論文の概要: Rethinking Reuse in Dependency Supply Chains: Initial Analysis of NPM packages at the End of the Chain

• arxiv url: http://arxiv.org/abs/2503.02804v1
• Date: Tue, 04 Mar 2025 17:26:34 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-03-05 19:22:27.481034
• Title: Rethinking Reuse in Dependency Supply Chains: Initial Analysis of NPM packages at the End of the Chain
• Title（参考訳）: 依存型サプライチェーンの再利用再考:チェーン終端におけるNPMパッケージの初期分析
• Authors: Raula Gaikovina Kula, Brittany Anne Reid,
• Abstract要約: 本稿では,サードパーティパッケージへの依存を最小限に抑えるためのソフトウェア開発プラクティスの転換を提唱する。 これらのエンドツーエンドパッケージは、エコシステムにおいて重要な役割を担っているため、ユニークな洞察を提供する。
• 参考スコア（独自算出の注目度）: 2.4969046521751768
• License:
• Abstract: The success of modern software development can be largely attributed to the concept of code reuse, such as the ability to reuse existing functionality via third-party package dependencies, evident within massive package networks like NPM, PyPI and Maven. For a long time, the dominant philosophy has been to `reuse as much as possible, without thought for what is being depended upon', resulting in the formation of large dependency supply chains that spread throughout entire software ecosystems. Such heavy reliance on third-party packages has eventually brought forward resilience and maintenance concerns, such as security attacks and outdated dependencies. In this vision paper, we investigate packages that challenge the typical concepts of reuse--that is, packages with no dependencies themselves that bear the responsibility of being at the end of the dependency supply chain. We find that these end-of-chain packages vary in characteristics and not just packages that can be easily replaced: an active, well-maintained package at the end of the chain; a "classical" package that has remained unchanged for 11 years; a trivial package nested deep in the dependency chain; a package that may appear trivial; and a package that bundled up and absorbed its dependencies. The vision of this paper is to advocate for a shift in software development practices toward minimizing reliance on third-party packages, particularly those at the end of dependency supply chains. We argue that these end-of-chain packages offer unique insights, as they play a key role in the ecosystem.
• Abstract（参考訳）: 現代のソフトウェア開発の成功は、NPM、PyPI、Mavenのような巨大なパッケージネットワークで明らかな、サードパーティのパッケージ依存による既存の機能の再利用など、コードの再利用という概念に大きく影響する可能性がある。 長い間、支配的な哲学は、"依存するものを考慮せずに、可能な限り再利用"することであり、結果として、ソフトウェアエコシステム全体に広がる大規模な依存性のサプライチェーンが形成されてきた。 このようなサードパーティパッケージへの依存は、最終的にセキュリティアタックや時代遅れの依存関係など、レジリエンスとメンテナンス上の懸念を引き起こしている。 本稿では,再利用の典型的な概念に挑戦するパッケージ,すなわち依存性のサプライチェーンの終端にある責任を負う依存性のないパッケージについて検討する。 チェーンの端にあるアクティブでメンテナンスの行き届いたパッケージ、11年間変更されていない"古典的な"パッケージ、依存関係チェーンの奥深くにネストされた自明なパッケージ、自明なように見えるパッケージ、バンドルして依存関係を吸収するパッケージ。 本稿では,サードパーティパッケージ,特に依存性のサプライチェーンの終了時のパッケージへの依存を最小限に抑えるためのソフトウェア開発プラクティスの転換を提唱する。 これらのエンドツーエンドパッケージは、エコシステムにおいて重要な役割を担っているため、ユニークな洞察を提供する、と私たちは主張しています。

関連論文リスト

• Pinning Is Futile: You Need More Than Local Dependency Versioning to Defend against Supply Chain Attacks [23.756533975349985]
  オープンソースソフトウェアにおける最近の顕著なインシデントは、ソフトウェアサプライチェーンの攻撃に実践者の注意を向けている。 セキュリティ実践者は、バージョン範囲に浮かぶのではなく、特定のバージョンへの依存性をピン留めすることを推奨する。 我々は,npmエコシステムにおけるバージョン制約のセキュリティとメンテナンスへの影響を,カウンターファクト分析とシミュレーションを通じて定量化する。
  論文  参考訳（メタデータ） (2025-02-10T16:50:48Z)
• Semantic Dependency in Microservice Architecture: A Framework for Definition and Detection [0.0]
  本稿では,これらの課題に対処する手段としてセマンティック依存行列を紹介する。 これは、これらの隠れた依存関係がエンドポイントデータの依存関係とは独立して存在することを示し、そうでなければ見過ごされる可能性のある重要な接続を明らかにする。
  論文  参考訳（メタデータ） (2025-01-20T23:34:24Z)
• An Overview and Catalogue of Dependency Challenges in Open Source Software Package Registries [52.23798016734889]
  この記事では、OSSパッケージやライブラリに依存する依存関係関連の課題のカタログを提供する。 このカタログは、これらの課題を理解し、定量化し、克服するために行われた経験的研究に関する科学文献に基づいている。
  論文  参考訳（メタデータ） (2024-09-27T16:20:20Z)
• A Systematic Approach to Evaluating Development Activity in Heterogeneous Package Management Systems for Overall System Health Assessment [0.0]
  我々は,Linuxディストリビューション内のパッケージを識別する手法を開発し,リリースに含まれるOSSプロジェクトのバージョン間の開発活動の低さを示す。 Ubuntuディストリビューションの6000以上のパッケージに対して,エポックおよびアップストリームプロジェクトのメジャー,マイナー,パッチバージョンを抽出するために,正規表現を使用します。
  論文  参考訳（メタデータ） (2024-09-06T19:58:20Z)
• Enhancing Supply Chain Visibility with Knowledge Graphs and Large Language Models [49.898152180805454]
  本稿では,サプライチェーンの可視性を高めるために,知識グラフ(KG)と大規模言語モデル(LLM)を活用した新しいフレームワークを提案する。 我々のゼロショットLPM駆動アプローチは、様々な公共情報源からのサプライチェーン情報の抽出を自動化する。 NERとREタスクの精度が高く、複雑な多層供給ネットワークを理解する効果的なツールを提供する。
  論文  参考訳（メタデータ） (2024-08-05T17:11:29Z)
• How to Understand Whole Software Repository? [64.19431011897515]
  リポジトリ全体に対する優れた理解は、自動ソフトウェアエンジニアリング(ASE)への重要な道になるでしょう。 本研究では,リポジトリ全体を包括的に理解するためのエージェントによるRepoUnderstanderという新しい手法を開発した。 リポジトリレベルの知識をより活用するために、エージェントをまとめ、分析し、計画する。
  論文  参考訳（メタデータ） (2024-06-03T15:20:06Z)
• Characterizing Dependency Update Practice of NPM, PyPI and Cargo Packages [7.739923421146855]
  依存関係を最新に保つことで、時代遅れで脆弱な依存関係によるソフトウェアサプライチェーンの攻撃が防止される。 本稿では,依存関係の更新度と脆弱性のある依存関係の更新度を測定するための2つの更新指標を提案する。 我々は,2.9Mパッケージ,66.8Mパッケージバージョン,26.8Mユニークなパッケージ依存性関係を用いた大規模更新メトリクスの実証的研究を行った。
  論文  参考訳（メタデータ） (2024-03-26T05:01:53Z)
• Dependency Practices for Vulnerability Mitigation [4.710141711181836]
  npmエコシステムの450以上の脆弱性を分析し、依存するパッケージが脆弱なままである理由を理解します。 依存関係によって感染した20万以上のnpmパッケージを特定します。 私たちは9つの機能を使って、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築しています。
  論文  参考訳（メタデータ） (2023-10-11T19:48:46Z)
• Visual Dependency Transformers: Dependency Tree Emerges from Reversed Attention [106.67741967871969]
  ラベルなしで視覚的依存関係を誘導できる視覚依存変換器(DependencyViT)を提案する。 我々は、子トークンが親トークンに出席し、情報を送信するように訓練された依存グラフとしてこれを定式化する。 DependencyViTは、ImageNet上の自己と弱い教師付き事前トレーニングパラダイムの両方でうまく機能する。
  論文  参考訳（メタデータ） (2023-04-06T17:59:26Z)
• Pack Together: Entity and Relation Extraction with Levitated Marker [61.232174424421025]
  エンコーダにマーカを戦略的にパッケージ化することにより,スパン(ペア)間の依存関係を検討するために,Packed Levitated Markersという新しいスパン表現手法を提案する。 実験の結果,3つの平坦なNERタスクにおいて,有望なマーカーが充填されたモデルの方がシーケンスラベルモデルよりも0.4%-1.9%優れ,トークンコンキャットモデルを6つのNERベンチマークで上回っていることがわかった。
  論文  参考訳（メタデータ） (2021-09-13T15:38:13Z)
• Reconstructive Sequence-Graph Network for Video Summarization [107.0328985865372]
  キーショットベースのビデオ要約には,インナーショットとインショット間の依存関係の活用が不可欠だ。 フレームとショットをシーケンスおよびグラフ階層としてエンコードする再構成シーケンスグラフネットワーク(RSGN)を提案する。 リコンストラクタを開発し、サマリージェネレータに報奨を与えることにより、ジェネレータを教師なしの方法で最適化することができる。
  論文  参考訳（メタデータ） (2021-05-10T01:47:55Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。