論文の概要: Towards Sustainable and Secure Reuse in Dependency Supply Chains: Initial Analysis of NPM packages at the End of the Chain

• arxiv url: http://arxiv.org/abs/2503.02804v3
• Date: Mon, 06 Oct 2025 05:28:38 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-10-07 14:28:09.457873
• Title: Towards Sustainable and Secure Reuse in Dependency Supply Chains: Initial Analysis of NPM packages at the End of the Chain
• Title（参考訳）: 依存型サプライチェーンの持続的・安全な再利用に向けて:チェーン終端におけるNPMパッケージの初期分析
• Authors: Brittany Anne Reid, Raula Gaikovina Kula,
• Abstract要約: 依存関係のサプライチェーンの終端にある責任を負う依存関係のないパッケージについて調査する。 NPMパッケージに最も依存しているものの最初の分析は、これらの重要な依存関係チェーンのかなりの部分を占めるチェーンのエンド・オブ・チェーン・パッケージであることを示している。 これらのパッケージは、持続的でセキュアなプラクティスで、依存性エコシステムの不確実なメリットを、戦略的再利用とバランスをとるための重要な教訓を明らかにしている、と私たちは主張する。
• 参考スコア（独自算出の注目度）: 1.7577744940574058
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Much of the success of modern software development can be attributed to code reuse. The ability to reuse existing functionality via third-party dependencies has enabled massive gains in productivity, but for a long time the dominant philosophy has been to 'reuse as much as possible, without thought for what is being depended upon', creating fragile dependency chains. Heavy reliance has raised resiliency and maintenance concerns. In this vision paper, we investigate packages that challenge the typical concepts of reuse - that is, packages with no dependencies themselves that bear the responsibility of being at the end of the dependency supply chain. By avoiding dependencies, these packages at the end of the chain may also avoid the associated risks. Our initial analysis of the most depended upon NPM packages shows that such end-of-chain packages make up a significant portion of these critical dependency chain (over 50%). We find that these end-of-chain packages vary in characteristics and are not just packages that can be easily replaced, and present five cases. We then ask ourselves: Should maintainers minimize external dependencies? We argue that these packages reveal important lessons for strategic reuse-balancing the undeniable benefits of dependency ecosystems with sustainable, secure practices.
• Abstract（参考訳）: 現代のソフトウェア開発の成功の大部分は、コードの再利用によるものです。 既存の機能をサードパーティの依存関係で再利用することは、生産性を大幅に向上させることができたが、長い間、支配的な哲学は"依存するものを考慮せずに可能な限り再利用"し、脆弱な依存関係チェーンを作ることだった。 重度の依存は弾力性とメンテナンスの懸念を引き起こしている。 このビジョンペーパーでは、再利用の典型的な概念に挑戦するパッケージ、すなわち、依存性のサプライチェーンの終端にある責任を負う依存性のないパッケージについて検討する。 依存関係を避けることで、チェーンの終端にあるこれらのパッケージも関連するリスクを回避することができる。 NPMパッケージに最も依存しているものの最初の分析は、これらの重要な依存性チェーンのかなりの部分(50%以上)を、チェーンのエンド・オブ・チェーンパッケージが占めていることを示している。 これらのエンド・オブ・チェーンのパッケージは特性が異なり、簡単に置き換えられるパッケージではないことが分かり、現在5つのケースがあります。 メンテナは外部の依存関係を最小限にすべきだろうか? これらのパッケージは、持続的でセキュアなプラクティスで、依存性エコシステムの不確実なメリットを、戦略的再利用とバランスをとるための重要な教訓を明らかにしている、と私たちは主張する。

関連論文リスト

• PyPitfall: Dependency Chaos and Software Supply Chain Vulnerabilities in Python [1.2644387713029346]
  本稿では、PyPIエコシステム全体にわたる脆弱な依存関係の定量的解析であるPyPitfallを紹介する。 我々は,378,573個のPyPIパッケージの依存関係構造を分析し,少なくとも1つの既知の拡張可能なバージョンを必要とする4,655個のパッケージを特定した。 我々は,Pythonソフトウェアサプライチェーンのセキュリティに対する認識を高めることを目的としている。
  論文  参考訳（メタデータ） (2025-07-24T03:58:18Z)
• GoLeash: Mitigating Golang Software Supply Chain Attacks with Runtime Policy Enforcement [10.835705780366466]
  パッケージレベルの粒度に少なくとも特権の原則を適用する新しいシステムであるGoLeashを提案する。 この細かい粒度により、GoLeashは従来のサンドボックスよりも正確に悪意のあるパッケージを検出できる。 GoLeashは難読化の下で有効であり、静的解析の限界を克服し、許容されるランタイムオーバーヘッドを発生させる。
  論文  参考訳（メタデータ） (2025-05-16T09:10:07Z)
• Insights into Dependency Maintenance Trends in the Maven Ecosystem [0.14999444543328289]
  Goblinフレームワークを用いてNeo4jデータセットの定量的解析を行う。 私たちの分析によると、依存関係が少ないリリースでは、より多くのリリースが欠落していることがわかった。 本研究は,最新リリースの依存関係には肯定的な新鮮度スコアがあり,ソフトウェア管理の有効性が向上していることを示す。
  論文  参考訳（メタデータ） (2025-03-28T22:20:24Z)
• Analyzing the Usage of Donation Platforms for PyPI Libraries [91.97201077607862]
  本研究では,PyPIエコシステムにおける寄付プラットフォームの導入状況について分析した。 GitHub Sponsorsが支配的なプラットフォームであるが、多くのPyPIリストのリンクは時代遅れである。
  論文  参考訳（メタデータ） (2025-03-11T10:27:31Z)
• Pinning Is Futile: You Need More Than Local Dependency Versioning to Defend against Supply Chain Attacks [23.756533975349985]
  オープンソースソフトウェアにおける最近の顕著なインシデントは、ソフトウェアサプライチェーンの攻撃に実践者の注意を向けている。 セキュリティ実践者は、バージョン範囲に浮かぶのではなく、特定のバージョンへの依存性をピン留めすることを推奨する。 我々は,npmエコシステムにおけるバージョン制約のセキュリティとメンテナンスへの影響を,カウンターファクト分析とシミュレーションを通じて定量化する。
  論文  参考訳（メタデータ） (2025-02-10T16:50:48Z)
• Semantic Dependency in Microservice Architecture: A Framework for Definition and Detection [0.0]
  本稿では,これらの課題に対処する手段としてセマンティック依存行列を紹介する。 これは、これらの隠れた依存関係がエンドポイントデータの依存関係とは独立して存在することを示し、そうでなければ見過ごされる可能性のある重要な接続を明らかにする。
  論文  参考訳（メタデータ） (2025-01-20T23:34:24Z)
• An Overview and Catalogue of Dependency Challenges in Open Source Software Package Registries [52.23798016734889]
  この記事では、OSSパッケージやライブラリに依存する依存関係関連の課題のカタログを提供する。 このカタログは、これらの課題を理解し、定量化し、克服するために行われた経験的研究に関する科学文献に基づいている。
  論文  参考訳（メタデータ） (2024-09-27T16:20:20Z)
• A Systematic Approach to Evaluating Development Activity in Heterogeneous Package Management Systems for Overall System Health Assessment [0.0]
  我々は,Linuxディストリビューション内のパッケージを識別する手法を開発し,リリースに含まれるOSSプロジェクトのバージョン間の開発活動の低さを示す。 Ubuntuディストリビューションの6000以上のパッケージに対して,エポックおよびアップストリームプロジェクトのメジャー,マイナー,パッチバージョンを抽出するために,正規表現を使用します。
  論文  参考訳（メタデータ） (2024-09-06T19:58:20Z)
• Enhancing Supply Chain Visibility with Knowledge Graphs and Large Language Models [49.898152180805454]
  本稿では,サプライチェーンの可視性を高めるために,知識グラフ(KG)と大規模言語モデル(LLM)を活用した新しいフレームワークを提案する。 我々のゼロショットLPM駆動アプローチは、様々な公共情報源からのサプライチェーン情報の抽出を自動化する。 NERとREタスクの精度が高く、複雑な多層供給ネットワークを理解する効果的なツールを提供する。
  論文  参考訳（メタデータ） (2024-08-05T17:11:29Z)
• Characterizing Dependency Update Practice of NPM, PyPI and Cargo Packages [7.739923421146855]
  依存関係を最新に保つことで、時代遅れで脆弱な依存関係によるソフトウェアサプライチェーンの攻撃が防止される。 本稿では,依存関係の更新度と脆弱性のある依存関係の更新度を測定するための2つの更新指標を提案する。 我々は,2.9Mパッケージ,66.8Mパッケージバージョン,26.8Mユニークなパッケージ依存性関係を用いた大規模更新メトリクスの実証的研究を行った。
  論文  参考訳（メタデータ） (2024-03-26T05:01:53Z)
• Dependency Practices for Vulnerability Mitigation [4.710141711181836]
  npmエコシステムの450以上の脆弱性を分析し、依存するパッケージが脆弱なままである理由を理解します。 依存関係によって感染した20万以上のnpmパッケージを特定します。 私たちは9つの機能を使って、脆弱性修正を迅速に適用し、脆弱性のさらなる伝播を防ぐパッケージを特定する予測モデルを構築しています。
  論文  参考訳（メタデータ） (2023-10-11T19:48:46Z)
• Visual Dependency Transformers: Dependency Tree Emerges from Reversed Attention [106.67741967871969]
  ラベルなしで視覚的依存関係を誘導できる視覚依存変換器(DependencyViT)を提案する。 我々は、子トークンが親トークンに出席し、情報を送信するように訓練された依存グラフとしてこれを定式化する。 DependencyViTは、ImageNet上の自己と弱い教師付き事前トレーニングパラダイムの両方でうまく機能する。
  論文  参考訳（メタデータ） (2023-04-06T17:59:26Z)
• Pack Together: Entity and Relation Extraction with Levitated Marker [61.232174424421025]
  エンコーダにマーカを戦略的にパッケージ化することにより,スパン(ペア)間の依存関係を検討するために,Packed Levitated Markersという新しいスパン表現手法を提案する。 実験の結果,3つの平坦なNERタスクにおいて,有望なマーカーが充填されたモデルの方がシーケンスラベルモデルよりも0.4%-1.9%優れ,トークンコンキャットモデルを6つのNERベンチマークで上回っていることがわかった。
  論文  参考訳（メタデータ） (2021-09-13T15:38:13Z)
• Reconstructive Sequence-Graph Network for Video Summarization [107.0328985865372]
  キーショットベースのビデオ要約には,インナーショットとインショット間の依存関係の活用が不可欠だ。 フレームとショットをシーケンスおよびグラフ階層としてエンコードする再構成シーケンスグラフネットワーク(RSGN)を提案する。 リコンストラクタを開発し、サマリージェネレータに報奨を与えることにより、ジェネレータを教師なしの方法で最適化することができる。
  論文  参考訳（メタデータ） (2021-05-10T01:47:55Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。