Fugu-MT 論文翻訳(概要): "I wasn't sure if this is indeed a security risk": Data-driven Understanding of Security Issue Reporting in GitHub Repositories of Open Source npm Packages

論文の概要: "I wasn't sure if this is indeed a security risk": Data-driven Understanding of Security Issue Reporting in GitHub Repositories of Open Source npm Packages

arxiv url: http://arxiv.org/abs/2506.07728v1
Date: Mon, 09 Jun 2025 13:11:35 GMT
ステータス: 翻訳完了
システム内更新日: 2025-06-10 16:33:10.961195
Title: "I wasn't sure if this is indeed a security risk": Data-driven Understanding of Security Issue Reporting in GitHub Repositories of Open Source npm Packages
Title（参考訳）: データ駆動によるGitHubリポジトリのセキュリティ問題レポートの理解 npm Packages
Authors: Rajdeep Ghosh, Shiladitya De, Mainack Mondal,
Abstract要約: この研究は、GitHubリポジトリ全体で報告された10,907,467件のnpmパッケージを収集した。これらの問題に関連するタグは、セキュリティ関連の問題に0.13%しか存在しないことを示している。手動解析のアプローチに続いて、高精度な機械学習モデルを構築し、セキュリティ関連の問題としてタグ付けされていない1,617,738件を特定した。
参考スコア（独自算出の注目度）: 8.360992461585308
License: http://creativecommons.org/licenses/by-nc-nd/4.0/
Abstract: The npm (Node Package Manager) ecosystem is the most important package manager for JavaScript development with millions of users. Consequently, a plethora of earlier work investigated how vulnerability reporting, patch propagation, and in general detection as well as resolution of security issues in such ecosystems can be facilitated. However, understanding the ground reality of security-related issue reporting by users (and bots) in npm-along with the associated challenges has been relatively less explored at scale. In this work, we bridge this gap by collecting 10,907,467 issues reported across GitHub repositories of 45,466 diverse npm packages. We found that the tags associated with these issues indicate the existence of only 0.13% security-related issues. However, our approach of manual analysis followed by developing high accuracy machine learning models identify 1,617,738 security-related issues which are not tagged as security-related (14.8% of all issues) as well as 4,461,934 comments made on these issues. We found that the bots which are in wide use today might not be sufficient for either detecting or offering assistance. Furthermore, our analysis of user-developer interaction data hints that many user-reported security issues might not be addressed by developers-they are not tagged as security-related issues and might be closed without valid justification. Consequently, a correlation analysis hints that the developers quickly handle security issues with known solutions (e.g., corresponding to CVE). However, security issues without such known solutions (even with reproducible code) might not be resolved. Our findings offer actionable insights for improving security management in open-source ecosystems, highlighting the need for smarter tools and better collaboration. The data and code for this work is available at https://doi.org/10.5281/zenodo.15614029
Abstract（参考訳）: npm(Node Package Manager)エコシステムは、数百万のユーザがいるJavaScript開発のための最も重要なパッケージマネージャである。その結果,脆弱性報告やパッチの伝搬,一般的な検出,さらにはこのようなエコシステムにおけるセキュリティ問題の解決を容易にする方法が,これまでも数多く研究されてきた。しかし,npmにおけるユーザ(およびボット)によるセキュリティ関連問題報告の実態と関連する課題の理解は,比較的少ない。この作業では、45,466種類のnpmパッケージからなるGitHubリポジトリ全体で報告された10,907,467のイシューを収集することで、このギャップを埋める。これらの問題に関連するタグは、セキュリティ関連の問題に0.13%しか存在しないことを示している。しかし、我々の手動分析のアプローチは、高い精度の機械学習モデルの開発に続き、1,617,738件のセキュリティ関連問題(全問題の14.8%)と4,461,934件のコメントを識別する。現在広く使われているボットは、検出や支援を行うのに十分ではないかもしれないことがわかった。さらに,ユーザと開発者間のインタラクションデータの解析から,ユーザ報告されたセキュリティ問題の多くが開発者によって対処されず,セキュリティ関連の問題としてタグ付けされず,正当な正当化なしにクローズされる可能性が示唆された。その結果、相関分析は、開発者が既知のソリューション(例えば、CVEに対応する)でセキュリティ問題に迅速に対処することを示唆している。しかし、そのような既知のソリューション(再現可能なコードでさえ)のないセキュリティ問題は解決されないかもしれない。私たちの発見は、オープンソースのエコシステムにおけるセキュリティ管理を改善するための実用的な洞察を提供し、よりスマートなツールとより良いコラボレーションの必要性を強調します。この作業のデータとコードはhttps://doi.org/10.5281/zenodo.15614029で公開されている。

論文の概要: "I wasn't sure if this is indeed a security risk": Data-driven Understanding of Security Issue Reporting in GitHub Repositories of Open Source npm Packages

関連論文リスト