Fugu-MT 論文翻訳(概要): On the Prevalence and Usage of Commit Signing on GitHub: A Longitudinal and Cross-Domain Study

論文の概要: On the Prevalence and Usage of Commit Signing on GitHub: A Longitudinal and Cross-Domain Study

arxiv url: http://arxiv.org/abs/2504.19215v1
Date: Sun, 27 Apr 2025 12:39:50 GMT
ステータス: 翻訳完了
システム内更新日: 2025-05-02 19:15:54.183781
Title: On the Prevalence and Usage of Commit Signing on GitHub: A Longitudinal and Cross-Domain Study
Title（参考訳）: GitHubにおけるコミット署名の頻度と利用について:縦断的および横断的研究
Authors: Anupam Sharma, Sreyashi Karmakar, Gayatri Priyadarsini Kancherla, Abhishek Bichhawat,
Abstract要約: 5年以上にわたってGitHubリポジトリに確認されたコミットの存在を調査した。これらの60のリポジトリのコミットのうち、10%のみが検証されている。我々はGitHubのEvents APIに基づいてコミットオーナシップを特定する方法を提案する。
参考スコア（独自算出の注目度）: 1.834753484317836
License: http://creativecommons.org/licenses/by/4.0/
Abstract: GitHub is one of the most widely used public code development platform. However, the code hosted publicly on the platform is vulnerable to commit spoofing that allows an adversary to introduce malicious code or commits into the repository by spoofing the commit metadata to indicate that the code was added by a legitimate user. The only defense that GitHub employs is the process of commit signing, which indicates whether a commit is from a valid source or not based on the keys registered by the users. In this work, we perform an empirical analysis of how prevalent is the use of commit signing in commonly used GitHub repositories. To this end, we build a framework that allows us to extract the metadata of all prior commits of a GitHub repository, and identify what commits in the repository are verified. We analyzed 60 open-source repositories belonging to four different domains -- web development, databases, machine learning and security -- using our framework and study the presence of verified commits in each repositories over five years. Our analysis shows that only ~10% of all the commits in these 60 repositories are verified. Developers committing code to security-related repositories are much more vigilant when it comes to signing commits by users. We also analyzed different Git clients for the ease of commit signing, and found that GitKraken provides the most convenient way of commit signing whereas GitHub Web provides the most accessible way for verifying commits. During our analysis, we also identified an unexpected behavior in how GitHub handles unverified emails in user accounts preventing legitimate owner to use the email address. We believe that the low number of verified commits may be due to lack of awareness, difficulty in setup and key management. Finally, we propose ways to identify commit ownership based on GitHub's Events API addressing the issue of commit spoofing.
Abstract（参考訳）: GitHubは、最も広く使われているパブリックコード開発プラットフォームの1つである。しかし、プラットフォーム上に公開されているコードは、悪意のあるコードやコミットをリポジトリに導入できるコミットスプーフィングに対して脆弱であり、コミットメタデータをスプーフィングすることで、コードが正当なユーザによって追加されたことを示すことができる。 GitHubが採用している唯一の防御策はコミット署名のプロセスである。これはコミットが有効なソースからのものであるか、ユーザが登録したキーに基づいていないかを示すものだ。この研究では、一般的に使われているGitHubリポジトリでコミット署名がどの程度普及しているかを実証分析します。この目的のために、GitHubリポジトリのすべての以前のコミットのメタデータを抽出し、リポジトリ内のコミットが検証されているかを識別するフレームワークを構築します。フレームワークを使用して、Web開発、データベース、マシンラーニング、セキュリティという4つの異なるドメインに属する60のオープンソースリポジトリを分析し、5年間にわたって各リポジトリに検証されたコミットの存在を調査しました。分析の結果,60リポジトリのコミットの約10%が検証されていることがわかった。セキュリティ関連のリポジトリにコードをコミットする開発者は、ユーザによるコミットに署名することに関して、はるかに警戒的だ。 GitHub Webはコミットを検証する最もアクセスしやすい方法を提供していますが、GitKrakenは最も便利なコミットの方法を提供しています。私たちの分析では、GitHubがユーザアカウントの未確認メールを扱い、正当な所有者がメールアドレスを使用できないという予期せぬ動作も確認しました。確認されたコミットの数が少なかったのは、認識の欠如、セットアップの困難さ、キーマネジメントの欠如による可能性がある、と私たちは考えています。最後に、コミットスプーフィングの問題に対処するGitHubのEvents APIに基づいて、コミットオーナシップを特定する方法を提案する。

関連論文リスト

MutaGReP: Execution-Free Repository-Grounded Plan Search for Code-Use [92.28400093066212]
MutaGRePは、ユーザリクエストを、大規模なコードリポジトリにある自然言語ステップに分解する計画を探すためのアプローチである。我々の計画では、GPT-4oの128Kコンテキストウィンドウの5%以下しか使用していませんが、GPT-4oのコーディング性能とレポジトリで満たされたコンテキストウィンドウに匹敵します。
論文参考訳（メタデータ） (2025-02-21T18:58:17Z)
An Empirical Study of Dotfiles Repositories Containing User-Specific Configuration Files [1.7556600627464058]
数十万がGitHubにリポジトリを公開している。 GitHubで公開ホストされているdotfilesリポジトリを収集、分析しました。トップ500のGitHubユーザのうち25.8%が、何らかの形で公開アクセス可能なdotfilesリポジトリを維持していることがわかった。
論文参考訳（メタデータ） (2025-01-30T18:32:46Z)
4.5 Million (Suspected) Fake Stars in GitHub: A Growing Spiral of Popularity Contests, Scams, and Malware [58.60545935390151]
われわれはGitHubでニセの星の国際的、縦断的な測定を行った。 StarScoutは、異常な出演行動を検出するスケーラブルなツールです。本研究は,プラットフォームモデレーター,オープンソース実践者,サプライチェーンセキュリティ研究者に影響を及ぼす。
論文参考訳（メタデータ） (2024-12-18T03:03:58Z)
Visual Analysis of GitHub Issues to Gain Insights [2.9051263101214566]
本稿では,課題タイムラインに関する洞察を提供するために,可視化を生成するプロトタイプWebアプリケーションを提案する。問題のライフサイクルに焦点をあて、ユーザによる開発パターンの理解を高めるために重要な情報を記述する。
論文参考訳（メタデータ） (2024-07-30T15:17:57Z)
Alibaba LingmaAgent: Improving Automated Issue Resolution via Comprehensive Repository Exploration [64.19431011897515]
本稿では,問題解決のためにソフトウェアリポジトリ全体を包括的に理解し,活用するために設計された,新しいソフトウェアエンジニアリング手法であるAlibaba LingmaAgentを提案する。提案手法では,重要なリポジトリ情報を知識グラフに凝縮し,複雑さを低減し,モンテカルロ木探索に基づく戦略を採用する。 Alibaba Cloudの製品展開と評価において、LingmaAgentは、開発エンジニアが直面した社内問題の16.9%を自動で解決し、手作業による介入で43.3%の問題を解決した。
論文参考訳（メタデータ） (2024-06-03T15:20:06Z)
MAGIS: LLM-Based Multi-Agent Framework for GitHub Issue Resolution [47.850418420195304]
大規模言語モデル(LLM)はコード生成において有望であるが、GitHubの問題を解決する上で困難に直面している。ソフトウェア進化のためにカスタマイズされた4つのエージェントからなる、GitHub Issue Resolution, MAGISのための新しいMulti-Agentフレームワークを提案する。
論文参考訳（メタデータ） (2024-03-26T17:57:57Z)
Unveiling A Hidden Risk: Exposing Educational but Malicious Repositories in GitHub [0.0]
私たちはChatGPTを使って、ソフトウェアリポジトリに公開されたコンテンツを理解し、注釈付けします。教育目的のみのために作成されたとされる35.2KのGitHubリポジトリのコレクションについて、体系的な調査を行っている。
論文参考訳（メタデータ） (2024-03-07T11:36:09Z)
GitAgent: Facilitating Autonomous Agent with GitHub by Tool Extension [81.44231422624055]
さまざまなタスクを実行できる外部ツールを備えた大規模言語モデル(LLM)に焦点が当てられている。本稿では,GitHubから自動ツール拡張を実現するエージェントであるGitAgentを紹介する。
論文参考訳（メタデータ） (2023-12-28T15:47:30Z)
Wait, wasn't that code here before? Detecting Outdated Software Documentation [9.45052138795667]
古いコード要素参照を自動的にスキャンするGitHub Actionsツールを提示する。 GitHubで最も人気のある1000のプロジェクトの4分の1以上には、少なくとも1つの古い参照が含まれている。
論文参考訳（メタデータ） (2023-07-10T00:52:29Z)
On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。 Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文参考訳（メタデータ） (2023-06-08T20:14:46Z)
GitHub Actions: The Impact on the Pull Request Process [7.047566396769727]
本研究では、プロジェクトがGitHub Actionsをどのように利用するか、開発者がGitHub Actionsについて何を議論しているか、プロジェクトアクティビティインジケータが採用後にどのように変化するかを調査する。私たちの調査によると、5,000のリポジトリのうち1489がGitHub Actionsを採用しています。また、GitHub Actionsの採用によってプルリクエスト(PR)の拒絶が増加し、受け入れられたPRでのコミュニケーションが増加し、拒否されたPRでのコミュニケーションが減少することが示唆された。
論文参考訳（メタデータ） (2022-06-28T16:24:17Z)
A ground-truth dataset and classification model for detecting bots in GitHub issue and PR comments [70.1864008701113]
ボットはGithubリポジトリで、分散ソフトウェア開発プロセスの一部である反復的なアクティビティを自動化するために使用されている。本稿では,5000のGithubアカウントのプルリクエストとコメント発行に関する,高い相互契約を伴う手動分析に基づいて,基幹トラスデータセットを提案する。ボットを検出する自動分類モデルを提案し,各アカウントの空のコメント数と空でないコメント数,コメントパターンの数,コメントパターン内のコメント間の不平等を主特徴とする。
論文参考訳（メタデータ） (2020-10-07T09:30:52Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。